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Abstract of EP0601907 

A compact synchronous microelectronic 
peripheral machine for standard microprocessors 
with means for proper clocking and control, has 
as-essential elements: three main subdivided, 
switched and clocked shift registers, B, S, and N; 
two only multiplexed serial/parallel multipliers; 
borrow detectors, ancillary subtractors and 
adders; delay registers and switching elements; 
all of which embody a totally integrated 
concurrent and synchronous process approach to 
modular multiplication, squaring, and 
exponentiation. A method for carrying out 
modular multiplication, wherein the multiplicand 
A , the multiplier B and the modul, N, comprise m 
characters of k bits each, the multiplier not being 
greater than the modulus, is also described, 
wherein the multiplicand can be much larger than 
the modulus. It is demonstrated how the device 
can be used as a large number processor in the 
normal field of numbers. 
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Die vorliegende Erfindung beziehx sich auf die modulare 
Verarbeitung einer groSen Zahl Primzahlen am Galois-feld und 
auch von zusammengeseczcen konstancen Primarkoef f iziencen. 
Die Erfindung bezieht sich insbesondere auf eine Vorrichcung 
zur Implemencierung modularer Mulciplikacionen / 
Pocenzierungen von groEen Zahlen. was zur Durchfuhrung der 
Operacionen geeignec isc. die fur die 2ugrif f sberechcigungs- 
prufung von Geheimverschliisselungen mic of f entlichem 
Schlussel und Verschlusselungsprocokollen wesenclich 1st. 
die in zumucbarer Verarbeicungszeic niche rait klemen 
Mikroprozesscren durchgefuhrc werden konnen. 

Die vorliegende Erfindung eeziehc sich auf die Karduare- 
Implemencierung eines Verfahrens. bekanr.c als ..das 
uberlappce Moncgomery^ . modulare Mulciprazisions- 

Mulciplikacionsverf ahren". das haufig in aut 

Verschlusselungssofcware ausgerichceten Syscetnen emgeaeczc 
wird. Es wird em einzigarciges neuarciges Verfahren zur 
Eeschleunigung der modularen Pocenzierung dargebocen; und es 
werden vicale Nachweise zur Vereinf achung der Architekcur 
und der Ausweitung des Einsaczes der vorrichcung auf eine 
grofte Anzahl von Serechnungen im normalen Zahlenbereich 
emgeaeczc . 



Das grundlegende verf ahren ist eines der drei 
yerof fenclichcen. damic zusammenhangenden Verf ahren zur 
Durchfuhrung der modularen Mult iplikac ion mit Montgomery^ 
Methodologie. [P. L . Montgomery, „Modulare Multiplikation 
ohne versuchsdivision". Berecimungsmathemazik, Band 44, pp. 
519-521, 1985], nachscehend als „ Montgomery** bezeichnet [S. 
R. Dusse und B. S. Kaliski Jr., M Eine kryptographische 
Bucherei fur Motorola DSP 56000- Pro Eurocrypz 90, Springer 
Verlag, Berlin. 1990]. nachstehend als ..Dusse- bezeichnec. 

In dieser Hardware - Implement ierung wurden Sicherheics- 
mechamsmen und ..fiiegende* Addicionen. Subtrakcionen und 
Bewegungen hinzugefugc; Prozesse, deren Gesamcausgabe 
irrelevani: sein konnce, warden entf erne ; ein relaciv emfach 
2u implemencierendes siliconarc iges Design wurde erfunden 
und integnerc, um dem incernen Daten-/Adress-Bus als 
abhangiger Rechner an praktisch jede beliebige 8, 16 oder 
32 -bit Zencralprozessoreinheic (CPU) angehangc 2u werden. 

Aufgrund des einfach synchronisierten Umschaltdesigns kann 
die Multiplikacions- / Quadrierungsmas chine bei 
Taktgeschwindigkeicen laufen. die ura mehrere Male schneller 
3ind als die mic einem CPU derzeitig erreichbaren 
Geschwincigkeicen, der On -Board niche fluchtige 
Speichervorrichcungen un:erscuC2c . Dieses Verf ahxen 
erfordert keine veranderungen des Designs der 
Speicherarchitektur des CPU. wie dies bei Implemencierungen 
rait paralleien Multiplizierwerken und Speicnern mic Dualporc 
zur scftnellen modularen Multiplikation ven groSen Zaiilen im 
Schaltkreis von Philips der Fall isc. [Philips Components, 
„83C352, gesichercer 8 -bit Mikrokont roller fur Anwendungen 
mic bedingcem Zugang~, Eindhoven. August 19S0] , nachstehend 
als Philips* bezeichnec. 



Die wesencliche Architektur "besteht aus emer Maschine, die 
in irgendein beliebiges Mikroconcroller-Design integnert 
and in den Speicher konvertiert werden kann; wahrend 
parallel mic dem Kontroller gearbeitet wird. der scandig 
Befehle und Operanden laden und die endgultige Ancworc dann 
enc laden und ubertragen mufi. 

Die emzigarcige Losung vervendec nur zwei serielle / 
parallele Multiplikationswerke . und einen kompletten 
seriellen verknupfcen Ansatz, der Siliconbereich spare. 
Durch den Emsat2 aktueller bekanncer Technologien 
ermcglicnt sie die Integration der kompletten Losung, unter 
EinschluS ernes Microcontrollers mic Speichern bis zu einem 
4 Mai 4 Mai 5 Mai 0,3 imn mikroelektronischem Scnaltkreis, 
der den ISO-Normen genugen kann [International Organisation 
for Standardization, „ Identif ikat lonskart en - Karcen mic 
lnnegriertem Schaltkreis, ISO 7816: 

Teil 1 - ISO 7816-1 „PhysiKali3che Merkmale". 1337 

Teil 2 - ISO .7816-2/ „ Abmessungen von Kont aktstellen", 
1S83 

Teil 3 ISO/IEC 7816-3 „Protokolle far elektrcnische 

Signale & Ubertragungen", 1939) 

nachstehend bezeichnet als ..ISO 7816 w . 

Die Erfindung 1st auf die Architektur dieser Lcsung 
ausgerichcet , basierend auf matnemat ischen. von Montgomery 
verof f enclichten Innovationen, mit nehreren Modif ikationen 
und Verbesserungen, und es werden niche naheiiegende 
Verfahren zur Reduaierung der far die moduiare Potenzierung 
notwendigen Zeit urn ecwas mehr als die Half e der 
erforderlichen Zeit bei Einsarz ^on bekannten 
Verarbeitungsverfahren und des Montgomery-Verf ahrens 
dargelegt . 



Def inicionen, Allgemeine Pnnzipien und verranren 
Die Erfindung wird in der folgenden Beachreibung uncer 
Emsacz der allgemeinen, nachscehend beschnefcenen 
Prinzipien und verfattren erlaucert. 

Zur modularen Mulciplikaciori im Bereich der Primarzanlen ur.d 
der zasammengesec2cen Pnmarzahlen definieren wir A und B 
als Mulciplikanden und den Mulciplikacor, and N als den 
konstancen Koef f iziencen, der tiblicherweise grower j,sc als A 
oder B. N kann in einigen Fallen kleiner sein als A. Wir 
definieren A, B und N als m . k = n Bic lange Operanden. 
Jede k Bic Gruppe wird Zeichen genannc. Dann sind A t B und N 
jeder m Zeichen lang. Zur Erleichcerung der Verfolgung der 
erscen Itnplemenrierung und bei der schnccweisen £rlaucerung 
des Verfahrens nenmen wir an, daS A, 3 und N 512 Bics lang 
sind in = 512); nehmen wir an/ da£ k aufgrund der 
koacenef fekciven Lange der Multiplikacoren 32 Bics lang isc 
und m = 16 die Zahl der 2eichen in einern Operanden und 
ebenfalls die Zahl der Iceracionen in einer Quadrie rungs- 
ode r Mulciplikacionsschleife mic emem 512 Bic Cpei«nutm 
isc. Es isc klar, daS alle Operanden ganze Zanlen sind. 

Wn verwenden das Symbol = um die Kongruenz von modula.ren 
Zahlen anzugeben, zum Beispiel 16 = 2 mod. 7 , und wir sagen. 
16 isc kongruenc zu 2 Modulo ?, da 2 der Resc isc, wenn 16 
durch 7 dividierc wird. Wenn wir schreiben Y mod.. N = X; 
konnen sowohl Y als auch X grdSer sein als : N ; allerdmgs 
wercen bei posicivem X und Y die Resce idencisch * sein. 
Anzumerken isc ebenfalls, daS die Kongruenz einer negaciven 
ganzen Zahl Y Y + uN isc, woioei N der Modulus isc, und 
falls die Kongruenz von Y geringer als N isc. wird u die 
Klemsce ganze 2ahl sein, was em posicives Ergeoms ergiDC. 

wir verwenden das Symbol ¥ z^r Bezeichnung der Kongruenz m 
einem engeren Sinne. Wahrend der nierin beschnebanen 



Prozesse isc ein Were haufig encweder der gewanschce Were 
oder gleich dem gewunschcen Wert plus dem konscancen 
Koeffizienten. Zum Beispiel kann X Y 2 mod. 7 ^X gleich 2 
cder 9 sein. Wir sagen, X hac erne begrenzce Kongruen2 mic 2 

5 mod . 7 . ■ 

Wenn wir schreiben X = A mod. defimeren wir X als den 
Resc von A, divxdierc durch N, zum Beispiel 3 = 45 mod. 7. 

In der Zahlencnearie isc das modulare mulciplikacive 
Gegencexl ein grundlegendes Konzepc . Zum Beispiel wird das 
10 mcdulare multiplicative Gegenceil von x als X' 1 gesenrieben, 
daa durch XX** 1 mod. N = 1 defimerc wird. Wenn X = 3 and w = 
13. dann isc X" 1 = 9 , das heiSc, der Resc von 3 . 9 dividierr 
durch 13 isc 1. 

Die Akronyme MS und LS werden zur Be2eichnung der grefceen 
15 und der kleinscen Sigmf lkancen bei der Ref erenzierung von 
Bics, Zeichen and fallen Operandenwercen eingesecic. 

In dieser gesamten Spezif ikacion bezeichnec H sowohl den 
Were N als auch den Namen des Jrnschalczahlwerkes, das N 
enchalc, A und N sind wahrend emer ganzen Pocenzierung 

20 konscance Werce. A isc der Were der Zahl, dxe 2u pocenzieren 
isc. Wahrend der erscen Ieeraeion einer Pocenzierung isc £ 
gle'ich A. S isc ebe.nfalls der Msme des Zanlwerks , in dem 
sich der kumulierce Were, der leezcendlich dem gewansencen 
Ergebnis der Pocenzierung encsprichc. befiridec. S bezeichnec 

25 emen cemporaren Were und ebenfalls das Zahlwerks, m dem ¥ 
von S gespeicherc isc. S(i-l) bezeichnec den Were von S zu 
Begmn der i. Ieeraeion: S 0 bezeichnec das LS Zeicnen ernes 
S (i) cen Werces. 

Wir bezienen una auf daa (spacer definxerce) Verfahren I A 
30 . B)M als Mulciplikacion nn jp-Bereich oder manchmal einfach 
eines Mulciplikacionsvorgangs - N 



Andere Symboie sind diejenigen, -die aach Ublicherweise m 
der Arichmecik verwendec werden: ■ 

Modulare Mulciplikacxon nach Moncgomery 

In einem klassischen Ansacz zur Berechnung einer modularen 
Multiplikation A . B mod. U wird der Rest des Produkxs A . B 
durch emen Di visionsprozefi errechnec. Die Implemencierung 
ernes Divisionsprozesses isc schwierigeir durchzuf uhren als 
ein MulciplikationsprozeS. 

Durch Einsacz des modularen Reduktionsverf ahrens nach 
Moncgomery wird die Division im we senc lichen durch 
Mulciplikacionen erset2C, die vorausberechnece Konscancen 
verwenden. 

Die ?un kt ion p (A . 3)N nach Moncgomery fuhrc eine 
Mult iplikaticns- Modulo N des Produkts A . B im jp-Bereicn 
durch. Die Wiedergewinnung aua dem p-Bereich zuruek in den 
normalen modularen Bereich wird' durch Darscellung von p im 
Ergebnis ven p (A . B)N und einer vorausberechnecen 
Konscance H dargescellc. Falls nun P = p (A . BJN isc, dann 
isc p(P . H ) N - A - B mod. N; dadurch wird erne ncrmale 
modulare Mulciplikacion in zwei p -Bereichs -Mulciplikacionen 
durchge fuhrc . 

Das 2iel effi2iencer modularer Reduktionsverf ahren isc die 
verhinderung einer Serie von Mulcipl ikaciens- und 
Divisionsvorgangen mic Operanden, die n und 2n Bic lang 
sind, durch die Durchfuhrung einer Serie von 
Mulciplikacionen, Addicionen und Subtrakcionen mic 
Operanaen, die n Bics lang sind und die ein Endergebnis 
er2ielen, das ein Maximum an n Bic lang isc. Zur Darscellung 
der Lehre nach Moncgomery beobachcen wir, dafs bei 
vorgegebenem A. B und ungeradem N (diese ungeraden 
konscancen Fakcoren sind immer encweder emfach oder eine 



Komponence grofter Pnmzahlen) gibt es immer ein Q, so'dafi A 
. B t Q . S in einer 2ahl result ierc, dessen n LS Bics Null 
smd oder 

P . 2 n = A . B + Q , N. 

Dies bedeucec, aaii wir einen 2n Bits langen Ausdruck haben, 
dessen N LS Bics Null sind, 

Lassen wir nun I . 2 n = 1 mod. N sein (I existierc ftir alle 
ungeraden tfs) . Die Multiplikacion beider Seicen der 
vorscehenden Gleichung durch I ergibc die folgende 
Kongruen2 : ( 

von der linken Seite der Gleichung; 

P . I . 2 a = N (Es sei daran eunnsrt, daft I . 2" = 1 
mod. N isc) 

und ven der rechcen Seice: 

A. 8. I -r Q . N . I = AS . I mod. N (Es sei daran 
erinnert, daft Q . N . I = 0 mod. N xsz) , 

daher 

P = A . B . I mod. N 

Leider bedeucec dies auch, daft ein para3icarer Fakcor I 
jedes Mai dann eingefuhrc wird, wenn die Multiplikanon lm 
p-Bereich durchgefuhrn wird. 

Wir definieren den p Operacor derarc, daft: 

P = A . 3 . I mod. N = p (A . B)N 

and wir nennen dies , t Mul t iplikacion von A Mai B itn p- 
Bereicft" . 



Die Wiedergewinnung vom p-Bereich wxrd durch Anwendung von 
p auf P • H berectoet, wa3 ergibc: 

p IP . H)N s A . B mod. N; 

wir konnen den Were von H durch Ersacz von P in der 
✓orscenenden Kongruenz ajsleiten. Wir finden: 

p{P . H)N = (A . B) (H) (I) mod. N; 

(siehe, daS A . B . I <- P; H t— H; [«- and jeder 
MalciplxKac xonsvorgang fdnrc einen Farasicen I Gin] 

Falls H rnic dem vielfachen Gegenceil von I 2 Kongruent ist . 
dann isc die Kongruen2 gflilcig, daher 

H = r 2 mod. N = 2 2ei mod. N 

(H isc erne Punkcion von N, und wir nennen es den 
Parameter H) 

2ur Darscellung des p -Operators auf A . B, f ohren wir das 
folgende Verfahren uncer Einsacz der vorausfcerechnecen 
Konscance J fern : 

1) X = A . B 

2) Y s (X . J) mod. 2" les smd nur die n LS Pits 
nocwendig) 

3) 2 = X -h Y . k 

4) S = 2 / 2 n (Die Anfcrderung an J" iac, da£ es 2 2wmgc. 
durch 2 n ceilbar zu sein) 

5) P ¥ S mod. N (N ist von S zu subcrahieren, falls S > N 
isc ) 

SchlieSlich, bei Schricc 5) : 



P V p\h . B)M 
[nacn Subcrakcion von N, falls nocig: 

P = k j <A . B)N] 
Uncer Forcfuhrung des obigen; 

Y = A . B . J mod. 2 n (uncer Einsac2 nur der n LS Bits) 

und 

Z=A.Bt (A.B.J mod. 2 n ) . N 

Damic 2 durch 2* (die n LS Bizs von Z mussen Null sein) 
ceilbar isc, muS folgende Kongruenz existieren: 

[A . B -t- {A.B.J mod. 2 R ) . N] mod. 2" = 0 

Damic diese Kongruenz exiscierc, ma£ N . J mod. 2 :l kongruenc 
zu -1 sem oder: 

J = -N* 1 mod. 2 a 

und wir haben die Konscance J gefunden. 

Daher isc J eine vorausberechnece Konscance, die nur eine 
Funkcion von N isc und naheliegenderweise mussen wir immer 
das positive J auswahlen, das kleiner als tJ isc. 

Daher verwendec das aufge2eigce Verfahren, wie dem Fachmann 
einleuchcen w^rd, drei Mult iplikacionen, eine Summenbildung 
und ein Maximum an Subc raiccionen fur das vorgegebene A. B. fi 
und eine vorausberechnece Konscance: wir erhalcen jv (A 
B) N . Uncer Verwendung dieses Ergebnisaes , desselben 
Verfahrens und emer vorausberechnecen Konscance H (eiaer 
Funkcicn des Moduls N) . sind wir in der Lage, A . B mod. N 
2u fmden. Da A gleich B sein kann, kann dieser Operacor als 



eine Einheic zur Quadrierung cder Multiplikation m der 
modularen Arichmecik verwendec werden. 



Oberlappte Modulare Mulciolikation nach Montgomery 
Im vorscehenden Abschnict wurde ein Verfahren 2ur modularen 
Multiplikation auf gezeigt , das Mul tiplikationen von 
Operanden verlangc, die alle n Bits lang waxen. und 
Ergebnisse, die 2n t 1 Bics Speicherplat2 erfordercen. 

Durch den Emsatz von Moncgomerya uberlappcer Reduktion 
(gemafc des vorgenanncen Dokuments von Dussel; isc es 
moglich. die Multiplications vorginge mit JcOrzeren Operanden, 
Zahlverken und Hardware- Mul tiplikatoren durchauf uhren, was 
die Implement ierung einer elektronischen Vorrichcung mit 
relativ wenigen logischen Gactern ermoglichc . 

Bei Einsacz eines k Bit Mult iplikators ist es angebracht, 
2eichen von K flic Lange zu defimeren; es gibe m Zeichen m 
n; das heifit m . k = n. 

J 0 wird das LS Zeichen von J sein. 
Daher 

Jo = -No" 1 mod. 2* (J 0 existiert als N ist ungerade) 

Dann wird unter Emsacz von Montgornerys uberlappcer 
Redukcion p (A . b)N in m Icerationen unter folgender 
Anf angsbedingung and unter Fortfuhrung der Schritte (1) bis 
(5) dargestellt, Der Verlauf der Erfmdung folgt diesen 
Schritten auf zusamznenf allende Weise . 

Zu Begmn S(0) = 0 (der ¥ Wert von S 2u Beg inn der ersten 
Iteration) . 



(1) X = S(i-l) T Ai-j . B (Ai- A isc das l-l. 2eichen von 
A; Sd-l) isc der Were von S zu Beginn der i. Iceracion) 

(2) Y 0 = X 0 . J 0 mod. 2* (Die LK k Bins des Produkcs X 0 .■ 
Jo) 

(Das Verfahren verwendec und bereehnet nur die k LS 
Bics, £um Beispiel den genngscen Signif ikancen 32 
Bics) . 

(3) 2 = X t y fl . N 

(4) S(i) = 2/2* (Die k LS Bics von Z sind inruner 0. daner 
isc 2 immer durch 2* ceil£>ar. Diese Division isc 
gleichbedeucend mic einer k Bin rechcen Verseczung, da 
die LK k Bics von 2 alle Null sind; oder, wie im Verlauf 
geseJien werden wird. die LK k Bics von 2 werden emfach 
unbeaencee gelassen. 

(5) S(i) = S(i) mod. tQ (N isc von solchen S(i)s zu 
subcrahieren. die grower sind als N) . 

Sehlie£lich, bei der leczcen Iceracion (nach der Subcrakcion ' 
von N, falls nocwendig) , C = S(rn) = p (A . B)N. Urn F = A . E 
mod. N ab2uleicen, mussen wir die Berechnung p (C . K)M .im 
jj-Bereich durchfuhren. 

Nun beweisen wir. daS S(i) fur alle S(i)s Kleiner isc als 2N 
(niche der in Moncgomery Seweisf \ihrung inbegriffen) . 

Wir beobachcen, daS bei Operanden, die im Verfahren 
verwendec werden: 

S(i-l) < N; B < N und A*-i < 2 K 

(Die erscen beiden Ungleichheicen bleiben, da zu Beginn 
einer Iceracion N von S(i-l) und B subcrahierc wird, wenn 
sie encweder groSer als oder gleich N waren. Die dricce 
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Ungleichheic bleibc. da 2k eine k + 1 flic lange Zahl isc, 
deren MS Bic -I- isc, wahrend A x -i ein k Bic langer Operand 
isc) . 

Per Definition: 

5 S(i-l) = 2/2 K (Der Were von S am Ende des Verfahrens 

vor einer moglichen Subcrakcion) 

Ersacz im obigen Gleichungssacs : 

Z = S(i-l) x A x -i . B r (Xo . J 0 mod. 2*) N 

Anzumerken isc, daS bei Berucksichcigung des maximale Werc.es 
10 jedes Elemencs in der vorscehenden Gleichung wir die 
Ungleichheic von Z erhalcen: 

2 < (N 1) t (2 K - 1) (N - 1) r {2 K - 1) . N - 2 k N + 2 K N 

und sicherlich 
15 2 < 2*N -r 2*N 

Nun warden beids Seicen der Ungleichheic durch 2 K diyidierc : 
2/2* < N + N 

und wir haben bewiesen, da& eine Subcrakcion von N alles 
isc. was jemals zur Korrekcur eines S(i) cder eines 5 
20 nocwendig isc . 

Beispiel I 

eine uberlappce modulare Mulciplikacian : 

Die folgenden Berechnungen konnen leichc mic einem 
Handrechner uberprufc werden, der uber emen hexacezimalen 
25 Modus ver fug c . Uncer Verwendung des hexadezimalen Format 
nehmen wir an: 
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N = a.59 (der konscante Koeffizient) , A = 99b (der 
Mulciplikacor) . B = Sc3 (der Mulciplikand) , n = 12. (die Bit 
Lange von N) ,. k = 4, (die GroSe an fixes des Mulciplikator3 
and ebenfalls die Grofoe eines Zeichens) und m =3, da n = k 
. m. 

Jo = 7 da 7 . 9 = -1 mod. IS and H = 2 2 * l \ mod. aSS = 44b. 

Das erwarcece Ergecms isc P = A . B mod. M = 99b . 5c3 mod. 
aS9 = 375811 mod. a59 = 220 1S 

Zu Beginn: S (0) = 0 

Scu/e 1 X = S(0) t A 0 . B = 0 t b . 5c3 = 3f6l 
Yo = X 0 . J 0 mod. 2* = 7 

2 = X + Y 0 - N = 3f61 -»- 7 . a59 = 87dO 

S(l) = 2 / 2* = 87d (welches klainer als N isc) 

Scufe 2 X s 5(i) +Ai . B = 87dt-9 . 5c3 = 3c5S 
Y 0 = X 0 . J 0 mod. 2* = 8 . 7 mod. 2* = 8 
2 = X + Y 0 . N = 3cS8 -h S2c8 = 8f20 
5(2) = 2 / 2* = 8f2 (welches kleiner als N isc) 

Scufe 3 X - S(2) * A 3 . B « 8£2 t 9 . Sc3 = Seed 
* 0 = d . 7 mod. 2* = b 

2 = X * Y 0 . N = 3ccd + b . a5S = aeaO 
3(3) = 2 / 2 K = aea . da 3(3) > N. 

S(3) = aea - a59 =91 
Daher C = jj (A . 3)N - 91 16 

Die Wiedergewinnung aus dem p-Bereich wird durch Berechnung 
von p (C . H)N erreichc : 

Aach hier, zu Beginn-. S(0) = 0 

Scufe 1 X = S(0) t C a . K = 0 t 1 . 4<3b 44b 
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Yo -d 

2 =.X t Y 0 N * 44b 8685 = SadO 
S(l) = Z / 2* = 8ad 

Scufe 2 X = S(l). C L . H = 8ad -r 9 . 44b = 2f50 
Y 0 = 0 

Z = X + Y 0 . N = 2f50 -h 0 - 2f50 

S(2) = 2 / 2 K = 2fS 

Scufe 3 X * S(2J + C 2 . K = 2f5 + 0 . 44b = 2f5 
Yo = 3 

Z = A + X 0 . W a 2f5 -r 3 . a59 = 2200 
S(3) = 2 / = 220 1£ , 

was der erwarcece Were von 99b 5c3 mod. a59 isc. 

Die Giiltigkeit der Operation kann intuitiv v/erstanden 
werden, wenn wir realisieren, daft, wenn wir m jeder Scufe k 
LS Mullen aufier Becrachc lassen, wir im wesentlichen die n 
MS Bits mic 2* multiplizieren. Dement sprechend isc in ]eder 
Scufe das i. Segment des Multiplikators ebenfalls eine mic 
2 A * mulcipli2ierce Zahl, was ihr die gleiche Wercung wie S(i) 
verleihc . 

Modulare Redukcion auf einer Montgomery-Maschine in einem 
Multiplikationsverf ahren 

viele verschlusselungsverfahren, wie zutn Beispiel der NIST 
Digital Signatures Standard oder die das Chinese Remainder 
Theorem (der chinesische Lehrsacz 2ur Resclehre) verwendende 
modulare Potenzierung erfordsrn die Reduzierung einer 2ahl, 
die gro&er 1st (haufig uber zweimal so groft) als ein zweiter 
konstanter Koef f izient . Diese modularen Reaktionen Konnen 
effi2ient in einer uberlappten Muitiplik^t ion nach 
Montgomery unter £insat2 einer erf indungsgemaSen Maschine 
und emer niche naheliegenden Erweiterung des Algorichmus 
nach Montgomery ausgefuhrt werden. 



Anzumerken isc, da£ in den voranscehenden Beispieler. 
implizierc wurde, daft n. die Lange des konscancen 
Koef f lziencen des Operanden, ebenfalls die genaue Lange von 
N war- Fur gewdhnlxche Pocenzierungen und Mulciplikacionen 
ware dies am ef f xziencescen. In den Fallen jedoch, in denen 
eine Reduzierung der GroSe nocwendxg isc, kann eine awexce 
Konsrance. I" 1 = 2 n mod. N eingeseczc werden. die, wenn 
Moncgomery rnic der derarc redaziercen Zahl mulciplizierc 
wird. eine Operation rnic einer minimalen Redukcion ergibc. 
Diese Konscance I 1 kann mic demselben Mechanismus bereciinec 
werden, der die Konscance H berechnec (siehe Abscnnirc uber 
die Serechnung des Paramecera H) . namlich durch Plazierung 
des Moduls N xn den wichcxgscen Tell des Divisoroperanden, 
so daS sein bedeutendsces „l x% im bedeucendscen Bic des 
Divisorregiscers verbleibc. Die 2ahl der verschiebungs- / 
Versuchs-Subcrakcionen, muS naheliegenderweise nun n «*■ I - L 
se;n, wobei L die Zahl der relevancen Bics von N isc. 
Anzumerken isc, dafi dieses I* 1 ein L Eics langer Operand sein 
wird. 

Zum Bewexs dieser Prarnisse wiederholen wir zunachsc noch 
einmal, da£ die Mulciplikacion nach Moncgomery von A B mod. 
N, ( (j (YA . 3)tf) die Kongruenz A.B.I mod. N erzielc. 
Wenn wir B = I*- zuordnen, dann 

p (A . I 1 )R = A . I" 1 . I mod- N = A mod. N. 
Bexspiel 2 

eine uberlappce Redukcxon nach Moncgomery: 

Urn eine Redukcion von c auf mod. q (c mod. q) zu 

demonscrieren, in der die Lange des 

Mule ipliJcacionsregiscers , in dem c ursprunclich gespeicherc 
isc, 24 Bics lang isc, grofier isc als die Lange ven q. 



» • • • 
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Nehmen wir eine Wortlange (GroSe . des 

Maschinenmultiplikators) von 8 .Bit und die folgenden 
leacvanacien an: 

n = 24: K = 8; t = Oa f5. 9b; q = 2b 13; and 
5 R = I" 1 - 2 2 * mod. q - 141 d 

Bei einer emfachen Divisionsberechnung wissen wir durch 
Vergleich, daS z mod. q = 5c8 ist. 

Anzumerken ist, da£ die Reduzierung und die Wiedergewinnung 
in einer Multiplication nach Montgomery durchgefuhrt werden: 

10 2u Beginn: S(0) =0, A = c = 0a fS 9b, B = R = 141d, N = q = 
2b 13 

Stufe 1 X-S(0)-rA u .B = 0r9- 14ld = c2d 8f 
Y 0 = X y . Jo mod. 2 K = 8f . e5 mod. 2 6 = eb 
Z = X t Y 0 . N = C2d 8f t eb . 2b 13 = 33 b9 00 
15 S(l) V 2 / 2* mod. N = 33 b8 , welches grofier ist 

als N 

S(l) = 33 b8 - 2b 13 «.8 aS 

Scufe 2 X = S(l) t A x . 8 = 8 a5 t £5 . 141d - 13 48 66 
Y 0 = X 0 . Jo mod. 2* = 66 . £5 mod. 2 3 = 3e 
20 2 = X t Y 0 . = 13 48 66 -r 3e . 2b 13 = Id b7 00 

S(2) = Z / 2* mod. N = Id b7 

Scufe 3 X = S ( 2 ) + A 2 . B = Id b7 t OA . 14 id = eS d9 
Y 0 = dS . e5 mod. 2 3 = Id 

Z = X t Yu . N = eS d9 + Id . 2b 13 = 5 c6 00 
25 S(3) = 2 / 2* mod. N * 5. C8 t 



Und t mod. q = 5c8, wie zuvor berechnet. 



Pocen2ierunq * 

Die folgende Ableicung einer Sequenz [D. Knuch. Die Kunsc 
des Programmierens von Computer*. Band 2: seminumerische 
Algorichmen. Addison-Wesley, Reading Mafs.. 1981], 
nachscehend ala „Knuch" bezeichnec. erlaucerc eme Sequenz 
von Quadracuren und Multiplikacaonen, die eme modulare 
Pocenzierung impli2ieren. 

Oncer der Annahtne, daB wir die Konscancen lm obigen 
Abschnicc vorausberechnec haben und daS unsere Vorricncung 
im p-Bereich aowohl Quadrieren als auch Mulcipl3.23.eren 
kann, mdchcen wir folgendes berechnen: 

C = a e mod . N 

Lassen wir E (j ) den 3. Bit in der binaren Darscellung des 
Exponencen £ angeben, beginnend mic dem MS Bic, deasen Index 
I isc und abachlie&end mic dem LS Bic, desaen Index q iac, 
konnen wir wie folgc pocenzieren-. 

a) B = A 

BEI 3=2 BIS q 
a; B V p (B . B)N 

b) B V %j (B . H)M (die Schricce a und b encsprechen B Y B 2 
mod. N) 

WENN E(j) =1 DANN 

a) B ¥ go (B . A)N 

b) B ¥ j?(fi . H)N (die Schricce a und b encsprechen den B Y 
B . A mod. N) 

Im tibergang von ;jedem Scnrict zum nachscen wird N von 5 
subcrahierc wann inwier'B grcSer ala oder gleicn M isc. 

Nach der leczcen Iceracion isc der Were B Y bia A e mod. M. 



Es gibe effiziencere syscemgebundene Procokolle, die mic der 
beschriebenen Schalcung 2ur Durchf uhrung der modularen 
Pocenzieirung verwendet werden konnen; wxr nennen swei 
Verschlusselungsprocokolle, bei der das hierin beschne&ene 
Verfahren die Geschwindigkeic der Pocen2ierurig haufig 
verdoppeln wird. Im RSA Verfahren |R . L. Rives c und andere, 
„Ein verfahren zum Erhaic digicaler Uncerschrif cen und 
Geheimverschlusselungen nut offenclichem Schlttssel". 
Kcmmencar zum ACM, Band 21 , 120 - 126, 1973], nachscehend 
bezeichnec als „RSA~ und dem Dif f le-Hellman Procokoll |W. 
Diffle und M. E. Hellman, H Neue Richcungen bei der 
Verschldsselung", l££E Trans- on Inform. Theorie. Eaiid IT- 
22, 644 - 654. 1976], nachscehend als „Dif f le-Hellman" 
bezeichnec, werden die meiscen der scnviengen 
Pocen2ierungen durch Emsac2 eines konscancen Exponencen 
durchgef uhrc . Das Verfahren des folgenden Abschniccs (em 
effiziences Verfahren fur eine Wiedergewinnung. von einer 
Pocenzierung eines p-Bereichs) verrmgerc. die 

Berechnungszeir fur jene Berechnungen, bei denen ein 
konscancer Expor.enc verwendec wlrd. Wenn dieses Verfanren 
eingeseczt wird, encfallen die Schricce b) im beschriebenen 
Pocemierungsverf ahren (alle p (B . H)W Mul ciplikac lcnen) . 
und der endgulcige Were von B wird nach der q. Iceracioa der 
Pocenzierung im p-Bereich nach Moncgomery mic emer 
vorausberechnecen Konscancen T n;ulclplizierc. 

Denjenigen, die in die Implemencierung emgebunden sind, 
leuchcec es em, dafi es fur vollscandige RSA-Lfncerschrif cen 
mic dxeser Schalcung uncer Verwendung des Chinese Remainder 
Theorem [beschrieben im vorgenanncen Arcikel von Knuch] 
moglich isc, eine weicere Redu2ierung um mehr als 70% der 
Berechnungszeic vor zunehmen . 



• ••• • 
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Ein eff iziences Verfahren far ei ne Wiedergewihflung von einer 
(j -Bereichs -Pocenzierang 

Das Quadrierungs- und Mulciplikacionsprotokoll des 
vorstehenden Absaczes kann verbesserc werden, und es isc 
5 moglich, die Zahl der f j -Bereichs -Mult iplikacionen wahrend 
der icerativen Sequenz durch Emfuhrung einer neuen 
vorausberechnecen Konstancen T zu redu2ieren, die eine 
funkcion des konscancen Koef f iziencen M and des Exponenten E 
isc 

10 T - (2 f -) £ mod. N = CI" 1 ) 2 mod. M 

Wo E = 2 q * 1 t E mod. 2*" 1 
und 

q isc die Zahl der relevancen Bits in E (oncer Wegfall 
aller voranscehenden Nullen) 

15 Die nbdulare Pocen2ierung kann nun berecnnec werden mic der 
Sequenz :' 

Zu Beginn: B = A 

BEI i=2 BIS q 
BY p (B . B)$ 

20 WENN E(3) = 1 DAMN 

B Y p(B . A)S 
ENDS FUR 

B Y fj (B . T)N 

Nehmen wir wieder an. daS fur neden Ubergang von einem 
25 Schricc zum nachscen N von B subcrahierc wird. war.n immer E 
grofcer als oder gleich N isc. 



Anzumericen isr wiederum, daS jede Mulciplikacioh xm p- 
Bereich einer modularen Mule iplikat ion desselben Pakcors mic 
L enrsprichc, 2um Beispiel p (X . Y) = X . Y . I mod. *i* 

Beispiel 3 

Dieses Beispiel demonsmerc den Einsarz von T Dei der 
Berechnung von A 2 mod. N and tnachr Ts Defimcion deurlic*. 

Nenmen wir an n = 4 und E = 5 = 0101 . q (nach Wegfall von 
Es voranscehender Null) isr 3, daher: 

E(l) = I; E(2) = 0; und E(3) = I 

und T isr vorausberechner : 

T = (2 n ) r mod. N = ( I* 1 ) * mod. N 

E - 2 ql + E mod. 2 q " x = 2 3 " 1 - S mod. 2*~ x = 4 + 1 = 5 
und daher: 

T = I ' mod. N. 
wie zu sehen isc. wenn 
zu 3eginn: 

B = A 
3=2, £(2) = 0 

B = p (3 . B)N = A 2 . 1 mod. 
3 = 3. E(3) =1 

E = p (B . B)N = B 2 = A* - I 2 . I mod. N 

B = p (3 . A) N = A 4 . I 3 - A . I mod. N 
und scnlieSl ich: 



B V p lB , T )N = A s ; V . I s . I mod. W - A 5 mod- N 

Die Einfuhrung des Parameters T kann vermieden werden, venn 
die nachacehenden Schritce zur Berechnung von A £ befolgc 
werden: 

Annehmend, dafi wir die Konsrance H nach Montgomery 
vorausberechnec haben und da£ unsere Vorrichcung im p- 
Bereich sowohl Quadracuren als auch Mulciplikationen 
berechnen icann, * mochcen wir folgende Berechnung anscellen; 

C = A* mod . N 

Lassen wir £(3) den 3. Bic in der binaren Darscellung des 
Exponencen E angeben, begmnend mit dem MS Ban, dessen Index 
I ist und abschlieftend mic dem LS Bat. dessen Index q 1st, 
Jconnen wir wxe folgc fur ungerade Exponencen pocenzieren: 

A*¥ gj(A . H)N 
B = A* 

BEI 3=2 BIS q-1 
B ¥ p (S . B)N 
WENN £ (j ) = 1 DANN 
By p(B . A»)N 
ExJDE FUR 
B Y p {B . A)N 

C = B £ 

Beim Ubergang von ;jedem Schricc zum nachsten wird W von 5 
subtrahiert, wann immer B groSer ala oder gleich N is:. 

Nach ,der letzcen Iceracion isc der Were B V bis A E mod. N, 
und C ist der endgulcige Wert. 

Bei geraden Exponencen konnte der leczce Schricc sein: 



B V fp (B . DM anscacc von BY p (3 . A) N 



2ur Klarscellung warden wir fol9endes Beispiel verwenden: 

E = xOll -* £{i) == I. E12) = O; E(3) = 1; E(4) = 1; 

Urn auf A 10Ai mod.. N; q = 4 zu koinman 

A x = p (A . K)N - Al" 2 1= AI* 1 mod. N 
3 = A«. 

bei 3=2 bis q 

B = p (B .B)A. was A 2 (I 1 ) 2 . I = A 2 - I" 1 ergibt 
E(2) =0; B = A 2 . I" 1 

D 3 B = p (B . B)N = A 2 (I* 1 ) 2 I = A** 

I- 1 * 

E(3) =1 B = p(B. Ar)N - (A* . I" 1 ) <AI' 3 ) . I 

= a 5 - r 1 

D = 4 B = p (B . B)N = A A0 . I 2 - I = A~° . 

Da E(4) eirie ungerade 2ahl war, erfoloc die let2ce 
Mulciplikacion m:c A. um den Parasicen I 1 2u encfernen. 

3 = p(B . A) = A 10 . I~ l . A . I = A iX 
C = B 

Berechnung des Parameters H 

Der Paramecer H ist eine Konscance, die far Berechnungen 1m 
Bereich Montgomery von grundlegender Bedeutung isc. Bei 
Verv/endung bescimmter Procokolle wird H eine Kor.scance sem, 
die auf eiriem groGeren Computer • vorausberechnec werden 
konnce. oder in anderen Fallen eine sinnvolle Konscance sein 
konnce, die in emer arscan Scufe ein Paramecer fur 
Berechnungen emer nuc2licheren Konscance sem wird. Siena 
vcrscehender Abschnicc . 

Bei allgemein ublichen Kommunikacionen xann angenommen 
warden, dafi H vorau9berechnec wird. allerdings konnce es bei 
mehreren Protckollen. 2um Beispiel bei der 



Zugrif f sberechcigungsprftf ung einer Uncerschrifc bei einer 
Direkckommunikacxon m RSA nbcvendig sein, H rnit dxeser 
Vorrichcung zu berechnen, zum Beispiel der SmarcCard. 

Der Parameter H wird definxerc als: 

H = 2 2u mod. N 

Das bedeucec, daS H der Rest eines normalen 
Divisionsvorgangs isc, m dem eine Zexchenfoige, Dei der auf 
exn MS Bic 2n LS Nullen folgen (a 2n -r 1 Bxs langer 
Operand) . durch die modulare Basis N divxdxert wird, 

Dxe bmare Divxsxon durch einen Divisor N eines Dividenden, 
bescehend aus einer „l w und einer Zeichenfolge von Nullen, 
isc gleichbedeucend mic der sequenciellen 

Versuchssubcrakcion N, das heifcc der Subcrakcion von N vom 
resclichen Versuchsdividenden, wenn die signif lkant escen n-rl 
Bics grofier sind als tJ (siehe Beispxel) . 

Obwohl der Dividend 2nr 1 Bics lang isc. isc es naheliegend, 
daS der rescliche versuchsdividend, der durch eine 
Subcrakcion beeinfluSc wird, niemals langer als n + 1 Bics 
iang isc und die LS Ziffem Nullen sind. 

Zum Beispiel : 

H berechnen, wenn = llio = lOll A i (daher isc die Bit-Lange 
von N 4, das heific n = 4) 

Division, wie wir es manuell bei langen Divisionen der Basis 
2 cun warden: 

1 011 1 

1011 11 0000 0000 
1011 Erfolgreicne Subcrakcion 

0101 0 <^= Ergeonis der erscen Runde 

101 l Keine Subcrakcion 



101 00 '■■■ c _ E^jgebhis der zweicen Runde 
10 11 Erfolgreicne Subcrakcion 
10 010 <= Ergebms der dnrcen Runde 
1 Oil Erfolgreiche Subcrakcion 
0 1110 <= Ergebnis der viercen Runde 
1011 Erfolgreiche Subcrakcion 

ErgeJbms der 5. Runde . (im-1) • 0011 = H 3 Basis 10 = der 

Rest) 

wo wir uberprufc haben, daft H = 2 10 . 

£s gibL n -r 1 Versuchseubcraki: ionen in einem H 
Divi3ionsverfahren. Anzumerken isz ebenfalls, daS der 
Versuchsdividend ebenfalls n ^ 1 Bics lang isc. Diese 
Sequeri2 der SubcraKcionen wird in der Hardware gemaS der 
nachscehenden Bescttreibung verf olgc . 

Diese Erfindung betriffc em mikroelekcronisches Gerat und 
ein Verfahren zu semetn Einsacz zur Durchfuhrung der 
modularen Quadnerung and der mcdularen Mulciplikanion eines 
Mulciplikacors durch einen Mulciplikanden, jeweils gemaS 
Anspruch 1 und 18. 

Die Anspruche 2 bis 17 becreffen weicere Ausbildungsarcen 
des Gerans gernaft Anspruch 1. 

Diese. Erf indung be^iehE aich auf eine kompakce synchrone. 
mikroelekcronische Periphenemaschine fur 

Standardniikroprozessoren raic Micceln fur eigene Taktang und 
Kontrolle, deren wesencliche Elerr.ence smd: drei 
uncerneilue, geschalcece und gecakxece Umschalczahlwerice 3, 
S und N; zwei einzige serielie / parallele Mulciplex- 
Mul c ipl ikac lonswerke ; Encnahme - Sensoren ( Hi 1 f ssubc rake ions - 
werke und Addierwerke; Verzogerungszahlwerke und 
Schaltelemence ; die alle einen vollacandig incegrierce 
zusairvnenf allenden und synenronen Verf ahrensanaac z zu einer 



modularen Mulciplikacion, Quadrierung und Pocenzierung 
darscellen. Eine weitere Ausbildungsarc implemencierc eine 
emzigartige, nicht direkc ableitbare synchronisierte 
Hardware -Ableicung des Montgomery- vert ahrens, die zur 
modularen Hardwaremultiplikation. -quadrierung and 
pocenzierung ausgelegt isc. Alternativ ist es ebenfalls 
moglich, eine Ableicung des Verfahrens nach Montgomery als 
exne Vielzahl von simulcanen seriellen Prozessen 
durchzuf uhren, das heific, Mulciplikacionen, Subt rake i one n. 
Addicionen, gespeicherte Verzogerungen und eine Division 
durch 2 K . Die Prozasse werden parallel in dem Ma£e 
durchgef uhrt, wie serielle Prozesse darin aufgehen. 

In einer weiceren Ausbildungsarc it es moglich, eine 
Ableicung des Verfahrens nach Montgomery als eine Vielzahl 
von seriellen Prozessen zur modularen Mult iplikation, 
Quadrierung and Pocenzierang durchzuf uhren, uncer AusschluS 
des Emsaczes von weiten incernen Bussen. Es isc weicerhin 
moglich, diese AOleicung ausrelchend Jcompakt zu macnen, 
damit sie auf einem Mikrochip hergestellc wird, gemaft den 
Normen ISO 7816 fur cragbare Smart Cards, die die bekannce 1 
Mikron Technologie verwenden. 

Weicerhm wird davon ausgegangen, daS es moglich ist , erne 
Ableicung des Verfahrens nach Montgomery gemaS obiger 
3escnreibung als eine Vielzahl serieller Prozesse zur 
mcdularen Mult iplikation, Quadrierung und Pocenzierung 
durchzuf iihren, die durch lrgendemer: beliebigen 
Mikroprozessor mit einem incernen Bus koncrollierc werden 
kann, ohne seine grundlegende Archicektur zu andern and 
msbesondere ohne eine veranderung des Designs der Speieher 
fur den dualen Pcrczugang and, mic relaciv gen no en 
Anforderungen an die Firmware. 



.Eine derarcige Maschine kann den Mikrokcm: roller ebenfalls 
zur Regulierung der Kaskade von p -Bereichs-Sequenzen von 
Quadrierungen und Mulcaplikationen einseczen. in denen der 
Exponent E niche im MULT Block geapeicherc zu werden 
brauchc. so dafc ein n-Bic langes Umschaltzahlwerk gesparc 
wird; die MULT-Koncrolle wird vereinf ache . wshrend ein 
geringer zusaczlicher Mikxokcncroller ROM-Coder erforderlich 
isc. 

Gemafc einer weiceren Ausbildungsarc der Maschine als 
Ergebms des Ladens des Ai Zahlwerks mit den „fliegenden" 
Quadnerungsmulciplikanden, wahrend das Regiscer B rocierc. 
wird das Abladen durch den Mikrokoncroller der vorhengen 
endgulcigen Werce von B und / oder B-N ausgeschldssen. urn 
das 2ahlwerk A,, mic Zeichen Bi wiederauf zuladen. Dies schonc 
RAM des Mikroconcrollers und eliminierc wenigscens n 
effektive Takcgeber2yklen bei jeder Quadrierungsiceracion. 

In einer weiceren Variance entfallen zwei Speicherzahlwerke 
und gecrennce serielle Subc rake ions vorgange von emer 
direKcen Implemencierung des verfahrens nach Montgomery . 
Dies erfolg durch Darscellung einer einzigen seriellen 
Erkennung auf 2/2* minus N zur Bescimmung, ob Z/2 K groSer als 
Oder gleich N isc und anschlieSend bei nur emer seriellen 
SubcraKcion kleiner werden kann als N Operanden. 

In emer weiceren Ausbildungsarc isc der Schalckreis derarc 
quasi -parallel synchronisierc , dafi nur zwei Mulciplikacoren 
zur Durchfuhrung von drei simulcanen 

Mul c lpl ikac ionsvorgangeri eingeseczc werden. In einer 
Silikonimplemencierung konnen serielle . / parallele 
Mulciplikacoren 40% des SilikonOereichs einnehmen. Bei 
Einsacz von zwei anscacc drei seriellen / parallelen . 
Mulciplikacoren verbleibc auareichend Silikcn zur 
Verdoppelung der Zanl der Zsllen in den verbleibcnden zwei 



Mulciplikacoren. Siese Verdoppelung der Grofce der 
Mulciplikacoren redu2ierc die Dauer des Prozesses bei einer 
512 Bit Mule iplikac ion urn uber 45%. 

Es leuchcec ebenfalls ein, dafi eine Maschine gemaft obiger 
Beschreibung mic einem digitalen verzogerungsschaltkreis 
Delay3 (einem k Bit Umschalczahlwerk) zur Synchronisierung 
des seriellen Addierwerks von X mic dem seriellen Ergebnis 
des Mulciplikacors ML1. Y 0 . N eingeseczc werden kann, uncer 
AusschluS der doppelcen Speicherung von Produkcen oder einer 
Wiederholung einer seriellen / parallelen Mulciplikation. 

In einer weiceren Ausbildungsarc gibe es zwei digicale 
Verzogerungsschalckreise. Delay 1 und Delay2 (zwei k Bit 
Omschalczanlwerke) . die zur Synchronisierung von drei 
seriellen Mulciplikacionen verwendec warden, in denen N ein 
Fakcor isc. dafi heifcc B . A x , X . J 0 und Y 0 . N . 

Alcernaciv konnce eine Maschine gemaS obiger Beschreibung 
konstruierc werden, in der ein digicaler 

Verzcgerungsschalckreis Delay3 den Vorgang des seriellen / 
parallelen Mulcxplikacors ML2 synchronisierc , so dafi er zwei 
gecrennte Mulciplikacionsvorgange im ProzeSscrom durchfuhren 
kann, das heifct X . J 0 und Y 0 • N. 

Es isc ebenfalls moglich, daS m einer solchen Maschine die 
Zahlwerke 5, B und N konfigurierc sind, urn entweder n Bics 
ccer a/2 Bics lang zu sein ; wobei die Pocenzierung uber n/2 
Langenmcdule in ecwas mehr als einem Achcei des effekciven 
Takcgerberzyklua abgeschiossen werden kann, der fiir n Bic 
lange Pocenzierungen nocwendig ware. 

In einer weiceren Ausbildungsarc wird eine Maschine gemaS 
oaiger Beschreibung dargebocen, die. wenn sie mic emem 
Original -Wiedergewinnungsf akcor T becrieben wird, die Zahlen 
der Mulciplikacionsvorgangen im P-Bereich bei einer 



vollstandxgen Potenzierung der RSA-Unterschrif c auf beinahe 
die Halfte reduzieren, 

Uncer der Vorwegnanme notwendiger Vorausberechnungen konnce 
diese Maschine aufgrund des ^flieoenden" Ladena de3 A 
Zahlverxs, der „fliegenden vorhersage" der Grofie der Inha3.ce 
des Zahlwerks S und der „ f liegenden M Synchronisierung des 
parciellen Operanden ebenfalls den vollscandigen 
Mulciplikacionsvorgang p (A . B)N einer n Bit Zahl in nur 
m(n-r2kj effekciven Taktgeberzyklen ausfuhren. 

Diese Erfindung umfafic weicerhin eine Maschine gemafi obiger 
Beschreibung . die dieselben Zahlwerke in derselben Maschine 
wie bei den Mulciplikaticnen nach Montgomery verwendec, zu 
der ein kleirier Encnahtne-Sensor-Schalckreis und dem 
Koncrollmechanismus ein emfaches Addierwerk hinzugefugt 
wurden, das in einem zweicen Modus arbeicec und den 
Parameter ri berechnec . 

Es wird weicerhin vorweggenommen, daS jedes untergeordnete 
Verfahren und jedes Verfahren mic vorbescimmten Zahlen von 
Takcgeber2yklen ausgefuhrc werden, so dafi eine 
Multiplication im p-Bereich und / cder eine Quadrierung in 
bekannten Sequen2en von Takcgeber2yklen durchgefuhrt werden, 
was die Aasbildung einer vereinf achcen Kontrolle ermoglichc. 
die m einer Kaskade von selbsrerregenden Zahlmechanismen 
ohne incerne Bedingungszweige bestehc. 

Fur jede der beschriebenen Maschinen (infra oder supra) 
kdnnte ein sogar noch weicer verbesserces Verfahren zur 
Durcnfuiirung modularer Pccenz-icrungen von D = A b mod. N 
geliefert werden, bescehend aus den Schritcen: 

1. Spexcherang des Exponencen E in emem Zahlwerk des 
Computers 
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2. Laden des kdnscancen Koef f iziencen m vorgenannces 
Zahlwerk N; 

3. Seczen des vorgenaancen Zahlwerks S auf Null; 

4. Durchfuhrung eines Multiplikacionsvorgangs 

von A* = p (A . H) M , wahrend A der zu potenzierenden Operand 
ist and A ein vorausberechneter Parameter wxe 2uvor 
def imert . 

5. Laden von A w in das Basis2ahlwerk B. 

6. Durchfuhren eine Quadrierungsvorgangs der Inhalces des 
Zahlwerks B. 

7. Umsehalten besagten ubrigen Exponencen E; 

8. Ignorieren aller seiner Null Bits, die dem erscen 1 3ic 
vorausgehen und Ignorieren des erscen 1 Bics besagten 
Exponencen E und fur alle folgenden Bits, die die Vcrgange 9 
bis 10 durchfohren; 

5. Fur jedes einzelne der besagten £ Bits, unabnangig davon, 
ob sie 0 sind oder 1, Ausfuhren der Vorgange 4 und 5 der 
zuvor dargestellcen Quadrierungsmethoden, bei denen sowchl 
der Multiplikand als aucb der Multiplikator aus dem Zahlwerk 
B scammen und in. dem die aufemander folgenden Zeichen des 
Multiplikators nacn Montgomery vom Zahlwerk B ins Zahlwerk 
A x geladen warden. 

10. Falls das aktuelle Bit des Exponencen E 1 ist,.und nur 
dann, nach Durchfuhrung des vorgangs S, Durchfuhrung der 
Vcrgange 4 und 5 des zuvor hierin beschriebenen 
Mulciplikationsvorgangs . m dem der Multiplikand der Inhalt 
des Zahlwerks B und der Multiplikator die Basis A' ist; und 



11. nach Durchfuhrung der Schritte 8 - 10 fur alle Bins von 
E, . Durchfuhrung einer zusaczlichen Multiplikacion des 
Zaftlwerks B durch die ursprungliche Basis A und dann 
Speichem des Ergebnisses des letzcen vorgangs als .D Y A E 
mod. N im Zahlwerk B. 

£m weiterer Gegenscand der Erfmdung (wiederum umier 
Emsatz jeglicher hierin (infra oder supra) beschriebenen 
Maschinen oder Verf ahren) umf aSc ein Verf ahren 2ur 
Durchfuhrung herkommlicher Mulciplikacionen von 2wei Zahlen. 
deren durchschnittliche signifikance Lange a/2 Bics isc, 
umfassend die Durchfuhrung der modularen Mulciplikacion 
besagcer Zahlen durch das Mulciplikar ionsverf ahren gemafi 
Beschreibung wenigscens eir.es der hierin beschriebenen 
Verf ahren (infra oder supra), in dem der konscance 
Xoeffi2ienc N eine n Bic 2ahl isc, bescehend aus alien len^ 
(fffffff . . . ff f ) , uncer Gleichset zung vcn J 0 mic 1 und 
Laden des Mulciplikanden In B und Bearbeicung von A wie in 
besagrem Mule iplikacionsverf ahren von Anspruch 1; N kann 
alle Einsen sein, encweder durch ein Vorlade-Zahlwerk N mic 
alien Einsen oder durch Einscellen des Multiplexers, der N 
ausgibc, um eine Serie von „harten M Einsen auszugeben* 

Es warden ein zuaammenfallendes Verfahren und eine 
einzigarcige Hardwarearchicekcur dargeboien, um eine 
modulare Potenzierung ohne Division mit derselben Zahl an 
Vorgangen durchzufuhren, die mic einer herkommlichen 
Mulciplikations- / Divisionsvorrichcung durchgefuhrc worden 
ware, in dem eine herkommliche Vorrichcung bei jedem Vorgang 
sowohl eine Mulciplikacion als auch .eine Division 
durchfuhren wurde . Eine Division isc ublicherweise ein niche 
decermmiscisches Verfahren und gilc als schvienger und 
2eicraubender als eine Mule lplikacion . 



Die in dieser Erfindung realisiercen Vorceile resulcieren 
aus einer syncnronisierten Sequena seneller Prozesse, die 
zusammengefuhrc werden, urn simulcan (parallel) drei 
Multiplikacionsvorgange auf a Bit: Operanden zu erreichen. 
uncer Einaatz von zwei einfachan k Bic senellen / 
parallelen . Mulciplikacoren in. (n ^ 2Jc) effektiven 
Takcgeberzyklen. 

Durch geeignece Synchronisierung und „f liegende" Erfassung 
und vorladende Operanden arbeitiet: die Maschme in einer 
determinism ischen Weise, bei der alle Mulmplikationen und 
Pocen2ierungen in emer vorbestimmcen 2ahl von 
Taktgeberzyklen ausgefuhrc werden. Bedmgce 2weige werden 
durch lokale Erfassung und Ausgleichsvorrichcungen erset2c, 
was eine Grundlage fur den Kcntrollmechanismus der einfachen 
Arc biecei:, die, wenn sie verfeinerc wird. aus einer Serie 
selbscerregender Zahler in Kaskadenf orm bescehen kann. 

Die Maschine scellc besonders geringe Anf orcerungen an den 
fluchcigen Speicher, da die Operanden fur die gesamce Dauer 
des Vorgangs in die Maschine geladen und dorc gespeicherc 
werden/ allerdmgs nuczc die Maschine die CPU, an die sie 
angeschlossen ist, 2ur Ausfuhrung einfacher Ladungen und 
Abladungen und Bef ehlssequenzen , der Maschine, wahrend die 
Maschine ihre gro£e 2ahl an Berechnungen durchf uhrt . Die 
Verarbeitungszeit der Focanzierung isc cacsachlich 
unabhangig von der CPU, die sie kontrolliert . In der Praxis 
sind keine Veranderungen der Archicektur nocwendig, wenn die 
Maschine an irgendeine beliebige CPU angeschlossen wird. Die 
Hardware- Vorrichuung isc selbscbeinhalcend und kann an 3 ede 
CPU Bus angeschlossen werden. 

3ei Einsacz dieser und zuvor patenc lercer sowie. 
Verf ahrenskcncrollprccokolle des Scandes der Technik wird 
das Mictei 2ur Beschleunigung des mcdularen Mule lplikar 10ns- 



und Pcrenzxerungsverfahrens gelxeferc, ausammen .mic Mitteln 
zur Vorausberechnung der nocwendigen Konsxannen.. 

Das Design der bevor^ugten Ausbildungsarcen der hierin 
beschriebenen Erfindung wurde kompaktierc und fur den 
besonderen 2weck ausgelegc, einen modularen machemacischen 
Operacor fur Anwendungen mic Geheimverschlusselungen mic 
of f enclichem Schlassel auf porcablen SmarcCards dar2ubiecen 
{die. in form und GroSe mic den ■ beliebcen 
Magnecscreif enkredic- und -bankkarten idencisch sindj . Diese 
Karcen werden in einer neuen Generation von Vorrichcungen 
mic Geheimverschliisselungen mic cffenclichem Schlussel 2ur 
Zugangskoncrolle von Compucern, Dacenbanken und kncischen 
Inscallacionen . verwendec werden: zur Regulierung und 
Sicherung von Datenflussen bei kaufmannischen, milicarischen 
und hauslichen Transakcionen; zur Encschltisselung codiercer 
privacer Fernsehsender , usw. 

Es durfce geschaczc werden, daS die Vorrichcung ebenf alls in 
Compucer- und Faxterminals, Turschiosser , Verkauf saucomacen, 
usw. eingebauc werden kann. 

Die beschriebene Hardware fuhrc eine modulare Mulciplikacion 
ur.d Pocenzierung durch Anwendung des p-Operacors in einem 
neuen einzigarcigen verfahren durch. Weicerhm kann die 
Quadrierung auf dieselbe Weiss durch Anwendung auf einen 
Mulciplikanden and einen Mulciplikacor durchgefuhrc werden. 
die gleich sind. Modulares Pocenzieren impli2ierc eine Folge 
modularer Mulciplikacionen und Quadrierungen, und daher wird 
es durch ein Verfahren durchgefuhrc, das die wiederholce, 
geeignec kombinierce und ausgerichcece . Anwendung der 
vorgenanncen Mulciplikacions- . Quadrierungs- und 

Pocenzierungsverf ahren umfaiSc . Jedoch wird hierin eine neue 
und verbesserce Weise der Durchf tthrung ' der modularen 
Pocenzierung weicer spez i f i2ierc . 



Das Verfahren zur Durchfuhrung modularer . Mulciplikationen, 
bei denen der Multiplicand A, der Multiplikator B und der 
Jccnscance Fakcor jeder M m Zeichen , von K Bits umfassen, 
wobei der Mule iplikand und der Multiplikator niche grofier 
' sind als der konst ante Faktor, umfafit die Schritte: 

1 - Vorausberechnen eines Parameters H und wemgstens des am 
wenigsten signif ikanten Zeichens J 0 eines anderen Parameters 
J gemaft nachstehender Definition und Laden von J 0 in ein jc 
Bit Zahlwerk. 

2 - Laden des Mulciplikanden B und des konst *ncen Faktor s n 
in jeweilige Zahlwerke von n Bit Lange, m denen n ^ m . k; 

3 - Setzen eines n Bit langen Zahlwerks S auf rtull und 

4 - Durchfuhrung einer i Iteration m Male, in der i von Null 
bis m-1 ist, wobei jede i. Iteration die folgenden vcrgange 
umf aSt : 

a) Ltoertragung des i. Zeichens A^ x auf den Mulciplikanden A 
vom Zahlwerkmittel Ai m das Speichermittel , das aus 
Zahlwerkmitteln und Schaltermitteln ausgewahlt ist; 

b) Erzeugen des Wertes x = S(i-l) ^ A X . L . B , in decn S(i-l) 
der „aktualisierte" Wert von S gemafi hierin gegebener 
Definition ist, durch: 

I. Rechtes Zyklusuraschalcen des Zahlwerks B in die 
Mult iplikationsmitcel . 

.II. Serielles Mult ipl i2ieren von B mic Ai-i 

II. Rechzes Zyklusumschalten des Koef f xzienten-Zahlwerks N 

IV. Best i (turning des „aktualisiercen" Wertes von S(i-l) als 
den lm Zahlwerk S gespeicherten Wert 



nach der U-l) Iceracion, falls derselbe niche groSer i 
als N, oder, falls er grdfier isr als N, durcn 



sem senelles Subcrameren von N und Vorwegnanme der 
Ergebmsse als den „akcuellen" Were 

von S ; und 

v.Rechces Zyklusunischaleen des Zahlwerks S und serielles 
Addieren des Werces der Mulcipli- 

kacion A A -i . B Bic Mai Bin zum „akcualisiercen rt Were von S. 

c) Mulciplizieren des LS Zeichens von X, x 0 mic J 0 und 
Eingabe des Werces X 0 . j 0 mod. 2 k in das • Zahlwerkmiccel als 
Y 0 bei Verzogerung von N und X durch k Takcgeberzyklen : 

dj Berechnung des Werces 2 = X + Y 0 , N durch: 

I Mulciplizieren von Y u mic N durch eine verzogerce. recftce 
Umschalcung des Zahlwerks M 

zusainmenfallend mic der vorgenanncen - rechcen 

Zyklusumschalcung a a von, und 

II Addieren von X zum Were von Y c . N; 

e) Ignorieren des geringscen sxgmf lkancen Zeichens von Z 
und Eingabe der resclichen Zeichen in das Zahiwerk S uncer 
Eingabe ven Z/2 X mie Ausnahme der leczcen Iceracion; 

f) Vergleich von Z/2* mie N Bie per Bit zum Zvecke der 
Beseimmung des akcualisiercen Werces von 3, S(i) m der 
hierin zuvor defmierten Weise ; 

g) in der das i. 2eichen des Muleiplikanden A A zu jeder 
beliebigen Zeic wahrend des vorgenancen Vcrgangs in das' 
Zahlwerkmiccel A geladen wird; 



5) bei der letzten Iteration (m ch) Ignorieren des 
geringscea signif ikancen Zeichens von Z/2* und Eingabe der 
verbleibenden 2eichen in das Zahlwerk B als den Were von C V 

p (A . B)N; 

G) Wiederholen der Schricce 3) bis 4) , in denen C oder C-N, 
falls C groSer ist als N, durch B erseczc wird und H durch A 
ersetzt wird, um P ^ p (C . H) mod. N 2u berechnen; und 

7) Vorwegnahme des Wertes p, der aus der letzten Iteration 
als das Ergebms der Vorgange A - B mod. M erhalten wird. 

£s wird ebenfalls ein Verfahren zur Durchfuhrur.g der 
modularen Potenzierung von D = A E mod. beschrieben, das 
die folgenden Schritte umf a£t : 

1} Laden der Zahl des Koef f izienten in das vorger.ar.nce 
2ahlwerk N ; 

2) Seczen des vorgenanncen Zahlwerks S auf Null; 

3) Laden der zu pocenzierenden Basis A in vorgenanntes 
Zanlwerk B; 

4) Speicnern des Exponencen B in ein Computer zahlwerk; - 
5} Umschalten besagten ubrigen Exponenten E; 

6} Ignorieren aller seiner Null Bits, die dem ersten i Bic 
vorscchen und Ignorieren des ersten 1 3:cs besagten 
Exponenten E und Durehfuhrung der Vorgange 7 bis 9 fur alle 
folgenden Bits; 

7) Fur jedes einzelne besagte Bit, unabhangig davon. ob es 0 
isn oder 1, Quadrieren des Inhales des Zahlwerks B mit dem 
hierm dargelegten Mult lplikationsverf ahren, in dem die 
aufeinander folgenden Zeicnen der Basis aus dem 2anlwerk 3 
in das Zahlwerk A x geladen werden. 



8) wenn das aktuelle Bit des Lxponencen E 1 .isc, und nur 
dann. Mulcipli2ieren ds9 Inhalts des Zahlwerks B mit der 
Basis A nach DurchfOhrung des Vcrgangs 7) , und 

9) Nach- jedem Quadrierungsvorgang nach Montgomery oder }edem 
Multxplikationsvorgang nach Montgomery Durchftihrung einer C 
. H Multiplikation (p{C . H) )N nach Montgomery und 

10) Nacn Durchfuhrung der Schritte 6. - 9 fur alle Bits von 
E. Speichem des Ergebnisses des letzten vorgangs als D ¥ A E 
mod. N xm Zahlwerk B. 

Weiterhm wird ein Verfahren 2ur Durchfuhrung emer 
modularen Potenzierung von D = k E mod., beschrieben, die 
die Schritte umf a£t : 

1) Laden der Zahl des Kcef f izienten in das vorgenannte 
Zahlwerk N; 

2) Seczen des vorgenannten Zahlwerks S auf rtull; 

3) Laden der zu potenzierenden Basis A in vorgenannces 
Zahlwerk 3; 

4) Speichem des Exponenten E in ein Computerzahlwerk und 
eines vorausberechneten Parameters T in einen CPU-Speicher ; 

5) Umschalten besagten iibrigen EyiponariTieci E 

G ) Ignorieren aller Mull Bits davon, die dem erscen 1 Bit 
vcrstehen und Ignorieren des 1 Sit besagten Exponenten E und 
Durchfuhrung der Vorgange 7 bis 8 fur alle folgencen Bits: 

7) fur jedes einzelne der besagten Bits, unabhangig davon, 
oh es 0 isc oder 1, Durchf Qhrung der Vorgance 4 und S des 
hienn dargelegten Multiplikat ionsverf ahrens , in dem sowohl 
der Multiplikand als auch der Mult lplikator die Basis A sine 



und in dem die aufeinander fclgenden 2eichen der Basis aus 
dem Zahlwerk B in das Zahlwerk k L geladen werden; 

8) Wenn das aktuelle Bit des Exponent en E 1 ist, und nur 
dann, nach Durchfuhrung des Verfahrens 7, Durchffchrung der 
Vorgange 4 und 5 das hierin dargelegten 
Multiplikationsverf ahrens. in denen der Mulciplikand der 
Innalc des 2ahlwerics B ist und der Mulciplikator die Basis A 
isc. und 

S) Nach DurchfOhren der Schntte 7 und 3 fur alle Bits von 
E, DurchfOhrung einer zasatzlichen Multiplikation nach 
Montgomery des 2ahlwerks B mic dem Parameter T (p(B. T)N 
und dann Speichem des Ergebnisses des letzten vorgangs als 
D i h k mod. N im Zahlwerk B. 

Parameter T wird definiert als T = (2") s mod. N, in dem 

S = 2 4 " 1 E mod. 2 q ~ x wie in der Qnergeordneten Anwendung im 
emzelnen erlautert. 

Ein sogar noch weiter vertesserces Verfahren zur 
Durchfuhrung der modularen Potenzierung von D = A e mod. tt, 
das die Schritce umf afic : 

1) Speichem des Exponenten E in einem Computer2ahlwerk. 

2) Laden der 2ahl des Koef f izienten ia vorgenanntes Zahlwerk 

M; 

3) Setzen des vorgenannten 2ahlwerks 3 auf Null; 

4) Durchfuhren ernes Mult iplikat ionsvorgangs von A m - p (A . 
H)tQ, wahrend A der zu potenaierende Operand . und H ein gemaS 
vorstehender Definition vorausberechr.eter Parameter isc. 

3) Laden von A* in das Basis^ahlwerk 3. 



6) Durchfuhrung eines Quadnerungsvorgangs der Inhalce des 
Zahlwerks b. 

7) Umschalten des besagcen ubrigen Exponent en E. 

3) Ignorieren aller Mull Bits davon. die dem ersten 1 Bit 
vorstehen und Ignorieren des erscen 1 Bits des besagten 
Exponencen E und Durchfuhren des Vorgangs 9 bis 10 fur alle 
folgenden Bits. 

S) Fur jedes einzelne der besagten E Bits, unabhangig davon. 
ob sie 0 sind oder 1. Durchfuhren der Vcrgange 4 bis 5 des 
hienn zuvor dargelegten Quadrierungsverf ahren3 4 in dem 
sowohl der Multiplikand als auch der Mult iplikator aus dem 
Zahlwerk B scammen, und in dem die aufeinander folgenden 
Zeichen des Moncgomery-Multiplikators aus dem Zahlwerk B in 
das Zahlwerk A x geladen werden. 

10) Wenn das aktuelle Bit des Exponent en E 1 ist, und nur 
dann. nach Durchfuhren des Vorgangs 9, Durchfuhren der 
Vorgange 4 und 5 des hierin zuvor dargelegten 
Multiplikat lonsverfahrens, m dem der. Multiplikand der 
Inhale des Zahlwerks B und der Multiplikat or die Basis A* 
ist ; und 

11) Nach Durchfuhren der Schricte 8-19 aller Bits von E 
Durchfuhren einer 2usat2lichen Addition nach Montgomery des 
Zahlwerks B tnic der ursprunglichen Basis A und dann 
Speichern des Ergebnisses des letzten Vorgangs D Y A £ mod. N 
im Zahlwerk B, wenn der Exponent ungerade ist; sollte der 
Exponent gerade sem, Durchfuhren einer zusat2lichen 
Multiplikat iqn nach Montgomery von D Mai I: B ¥ p(D . 1) ¥ 
D . I. 

Es wird deuclich, daft bel dem Potenzierungsverf ahren dieser 
Erfindung die Motwendigkeit der Berechnung des hierin 2Uvor 
erwahncen Parameters T entfallt. 



Es' wurde weiter f estgescellc, and das isc em weicerer 
Gegenscand der vorliegenden Erfindung, daS die beschriebene 
Maschme (in Form ernes 512 Bit grofien Zahlwerks) den Erhalt 
des Ergebnisses der herkocucnlichen Mulciplikacion vori 2wei 
n/2 Bit Zahlen (effekciv jede beliebigen zwei Operanden, 
die, wenn sie mulciplizierc werden, kein Ergebnis 
hervcrrufen, das langer als n Bics isc, das heiSc, emen 
Uberlauf) ohne den Einsac2 zusat2licher Hardware oder der 
beschwerlichen Vorgange erlaubc, die zu seiner £r2ielung 
gemafi den Vorverof f enclichungen erforderlich vraren. Dies 
ward durch Durchfuhrung der mcdularen Mulciplikacion 
besagcer 2ahlen durch Mulciplikacionsprozesse erreicht, m 
denen der Were des konscancen Koef f lziencen W eine n Bit: 
Zahl isc, die aus alien M ls- (fffffff . . fff) bestehc, die 
Jo bis I encsprechen, und Laden des Mulciplikanden in B und 
Behandeln von A wie in besagtem Mult iplikationsvorgang . 

Die Vorrichcung 2ur Durchfuhrung einer derarcigen 
Mulciplikacion im normalen Zahlenbereich - durch das 
vcrgenannie Verfahren kann dieseibe Vorrichcung sein, die 
Koncrollcniccel umfafic, umfassend eir.e CPU und emen 
Mulciplikacionsschalckreis, der beinhalcec : 

ein n Bit Umschalc zahlwerk: B fur den Mulciplikacor ; 

ein n Bic Umschaltzahlwerk N for den kenscancen 
Koef f i2iencen; 

em n Bic Umschalc zahlwerk fur den hierin defmierten Were 
S; 

ein k Bic 2ahlwerk A A fur den Mulciplikanden; 

k Bic Zahlwerk Miccel fur die hierin definiercen Werce J & 
und Y 0 



Mulciplikat ionsmitcel zur Mulciplikacion " des Inhales des 
Zahlwerks B mit dem des 2ahlwerks A A ; 

2usac2liche n-Bic Mulcxplikacionsmictel ; und Addier-, 
Subcrakcions- , Multiplex- und Verzc9erur.9smict.el. 

Alle Verbmdungen zwlachen den n Sic Zahlwerken und den 
resclichen Komponencen smd bevor2ugc 1 Bic serielle 
Verbindungen. 

KUR2E BESCHREI3UNG D5R ZEICHJQUNGEN 
In den Zeichnungen: 

isc Figur 1 ein Blockdiagramm eine Geracs gemaS elner 
erf indungsgemafien Ausbildungsarc ; 

isc Figur 2 em Blockdiagramm eines modularen 
Mulciplikacions-Schalckreises gemaG einer erf indungsgemaGen 
Ausbildungsarc ; 

2eigc Pigur 3 den besonderen . modularen 

Mulciplikacionsschalckreis gemaS einer erf mdungsgema£en 
Ausbildungsarc ; 

isc Figur 4 eme schemacisches Diagramm, das das ^eicliche 
Verhaltnis 2wischen den verschiedenen Vorgangen einer 
Iteration des Mulciplikacicnsvorganges gemaft emer 
erf indungsgemailen Ausbildungsarc darscellc; 

scellc Figur . 5 eme serielle / parallels 

Multiplikacionszelle dar; 

scellc Figur 6 emen 8 3ic seriellen / parallelen 
Mult iplixacor car. 

scellc Figur 7 ein serielles Addierwerk dar; 
scellc Figur 8 ein serielles Subcrakcicnswerk dar. 



stellt Figur 9 eine Archicekcur iur Berechnung des 
Parameters H dar. 



Insbesondere 

besehreiben die Figuren verschiedene Ebenen logischer 
Kcnzepce, die 2um Verscandnis der vorrichcung in ihrer 
Gesamcheit nocwendig sind. In alien Fallen mociviert das 
Taktsignal den Schaltkreis, und falls es ein 3 RucJcsecz- 
Signai gibe, isn sein Zweck die Inicialisierung eines 
Schaltkreises in den Nullzuscand. 

Decaillierce Beschreibung bevorzugcer Ausbildungsarceri 
Pigur 1 isc em Blockdiagramm des monolichischen 
Schalckreises, in den die Erfindung integrierc isc. Der MULT 
Block enchalc die Hardware-Vorrichcung, die die Basis far 
die Erfindung ist; die Scacusmaschme enchalc den 
Controller, der den MULT Schalckreis ancreibc, der ROM Block 
enchalc den gesamcen niche fluchcigen Speicher (ROM und 
EEPROM) , xn den das Programm 2ur Koncrolle der Smarc Cards, 
die bewahrten of f enclichen SchlOssel fur Dricce und das 
Prcgramm zum Becrieb des MULT Blocks sowie die 
Scacusmaschme uncergebracht smd; der RAM Block enchalc den 
fluchtigen Speicher, der cemporare Operanden wie zum 
3eispiel 2U pocenzierends Wachrichcen, auf 

2ugangsberechcigung zu prufende offencliche Schlussel, Dacen 
im Obergang zum MULT Block, usw. speicherc; die CPU 
(Zentrale ProzesspreinheicJ kann prakcisch jeder bekannce 
Mikrokoncroller sein, der em 8 Bic oder einen grofieren 
internen Bus hac . 

Figur 2 zeigt emen erf indungsgemaSen modularen 
Mulciplikacionsschalckreis in Form eines Blockdiagramms , der 
zur Durchfuhrung von modularen Quadrierungen und modularen 
Pccen2ierungen emgeseczc werden kann. Die Numerale 10. 11 
und 12 zeigen drei Zahlwerke an, die n Bit lang sine, n = k 



. m. was jewexls Zahlwerke .8. S und ' N bildec. bzw. in die 
der Mulciplikationswerc S and der konscance Kceffizienc 
geladen warden. Die vorgenannten Zahlwerke werden bevorzugc 
in zwei Zahlwerke n/2 geceilc* bevorzugc uncer Einscnlu8 
einer k kleinscen Bic Uncerceilung fur die Zahlwerke N und 
B. Multiplexer 13, 14 und 15 werden jewel Is vor die besagcen 
Zahlwerke plazierc und venn sie in Komponencenceile 
uncerceilc werden, wird em Multiplexer vor jede 
Uncerceilung plazierc. Diese ebenfalls m emem 
Blockdiagramm gezeigcen Zahlwerke sind zum seriellen Laden 
bestimmc. doch ware es ebenfalls moglich, si© parallel zu 
laden. 16. 17 und 18 sind drei Zahlwerke. wobei jedes von 
ihnen k Bics lang isc und jeweils die Werce A,. j 0 und Y 0 
erhalc. Die Zahlwerke 16 und 17 sind Umschalczahlwerke mic 
serieller Ladung / paralleler Ausgabe oder mic serieller und 
paralleler Ladung / paralleler Ausgabe-Zahlwerken, Zahlwerk 
18 isc bevorzugc ein serielles Umschalc zahlwerk in 
paralleler Ausgabe. Der Inhale dieser Zahlwerke isc zur 
Verarbeicung durch Mulciplikacionsmiccel 19 und 20 durch 
Xompcnencen 21 und 22 bescienmc. welche bevorzugc k 3ic 
Schalcer sind. Wenn sie Schalcer sind, werden sie von 
Zahlwerken 16, 17 und IS durch k Bic Basse geladen. Wenn sie 
2ahlwerke sind. konnen sie seriell durch I Sic Verbmdungen 
geladen werden. Die Numerals 24, 15, 25'. 26, 36. 37 und 38 
bezeichnen ebenfalls Mulciplexer. Die Mulciplikacoren 19 und 
20 konnen A serielle. B parallels Emgaben. serielle 
Ausgabemulciplikacorennuccel cder jegliche andere serielle / 
parallele Eingabe- / serielle Ausgabemclciplikacionsmiccel 
sain. Der Mulciplexer 3 8 kann den konscancen Koef f lziencen N 
2wmgen, alles „len" zur Mulciplikacion in den normalen 
Bereichszahlen zu sein. 

Die Numerale 27. 23. 29. 30 und 31 bezeichnen 1 Bic voiles / 
halbes Addier- / Subcrakcionswerk. 31 bezeichnec ein voiles 
Adcier- / Subcrakcionswerk. 32. 33 und 34 bezeichnen k Bic k 



Takcgeberzyklua-Verzogerungsmictel, die geeignec smd, 
digital Signale 2u ver26gern, die aus analogen oder 
digicalen Komponencen bescehen konnen,. obwohl digicale 
. Komponencen bevorzugc werden. 3 5 1st ein Encnahme sensor, der 
ein zwei Bit Scnalcer-/ Speichermiccel ist. wie dargescellc 
umfaSc die erf indungsgemafce Vorrichcung, obwohl sie zur 
Behandlung grofier Zahlen bescimmc isc, wie zum Beispiel 512 
Bin 2ahlen. keine Busse, mic Ausnahme emiger wemger 
opcionaler k Bic Busse. und dies bedeucec eine bedeucende 
Emsparung an Hardware. Wenn die Zahlwerke E, S und -a/2 Bit 
Texle umfassen, kann die erf mdungsgemafie Vornchcung zur 
Purcnfuhrung von Mulriplikacions- und Pocenzierungsvorgangen 
auf 256 Bic Zahlen eingeseczc werden, was ein bedeucender 
Vorceil hinsichclich der Flexibilicac des Einsaczes der 
Vornchcung isc. 

Figur 3 zeigc die logischen Zellen gema£ einer bevorzugcen 
Auabildungsarc der Erfindung, Operanden werden in den A x 
Schalcer. das ZahlwerK J 0 , das Zahlverk 3 und das Zahlwer*: N 
uber die serielle Verbinduno DI gespeisc ; und Ergebnisse 
werden uber eine serielle Verbindung DO vorn 2ahlwerk B cder 
S abge laden. 

Das Signal X isc die Bic Sc rem- Summenbil dung des Produfccs 
von B und A L und S. (Werce nach S und B haben angenommene 
Werce, die klemer sind als N) . Das Signal Y 0 isc der ls 
Bic Scrom des Produkcs von J 0 und X. Das Signal 2 i3c die 
Summenbil dung von X und dem Produkc ven Y 0 und N. Die k LS 
Bics von Z, uncer Nichcbeachcung aller Nullen. und nur die n 
MS Bics werden seriell in S oder B eingespeisc. 

Der Encnahme -Sensor ist ein log is cher Schalckreis. der 
fescscellc, ob der Were ven Z/2 K is groSer isc als N cder 
rucne . 



Die Subcrahierwerke Subl und Sub2 subcrahieren den Bit -Scrom 
N von den Sic Scromen von B und S, wann imrner B oder s 
grcfier isc als N . 

Adl und Ad2 summieren Bit Scrdme, um Scrcme X und 2 zu 
produzieren. 

Die Umsciialczahlwerke Delayl und Delay2 smd notwendig zur 
Lieferung von Speicher zur Synchronisierung der 
machematischcn Protease. 

£s sind keine Takcgeberjconcrollen in der Zeichnung 
encttalcen . Es wird vorweggenommen, daft Taktgeber von der 
Suatusmaschine gelieferc werden, wann immer Dacen entweder 
von irgendeinem der oben genanncen seriell geladenen / 
abgeladenen logischen Schaltkreisen ausgeht oder in sie 
emgespeisc werden mussen. 

Auch andere Koncrollen werden niche spezif iziert, das heifst, 
Multiplexeradressen, Schalcercransf ersignale . usw., die fur 
Fachleute aus de.m in. dieser Spezif ikarion enchalc enem 
erlaucerndem Macerial naheliegend sein durfcen. 

Pur den Pachmann wird es of f ensichtlicii sam, wie die 
Vornchcuno der Figur 2 cder der Figur 3 die Vorgange 
durchfuhrc, die das erf indungsgejnaSe 

Mulciplikatzionsverf ahren darstellen. Das zemliche 

Verhalcms besagten Vorgangs wire jedoch weiter in Figur 4 
dargescellc. 3esagce Figur sceHc. diagraximamg alle 
verschiedenen Vorgange dar, die in effekniven aufeinander 
folgenden Takcgeber2yklen in einer Ausbildungsarc der 
Erfmdung durchgefuhrt werden, in der n = 512., k = 32 und m 
= 16 i9C . Dies ist exne 2iemlic"n gewohnliche Situation in 
der Verschlusselungskunst . Wenn die Erfindung gemafi der in 
Figur 3 dargestell ten Ausbildungsart durchgef Qfrrc wird. kanr. 
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dieselbe Vorrichtang ebenfalls 2ur Durchf Ohrung mit n = 256 
verwendet warden. 

In Pigur 4 wird eine Folge verschiedener Vorgange als eine 
Funkcion der effektiven Taktgeberzyklen dargestellt, die auf 
5 der Abszissenachse emgetragen sind. Zu Beginn des Vorgangs 
una vor irgendeiner der Iterationen, die Tail des 
erf mdungsgema£en modularen Mulriplikationsverf ahrens sind, 
werden die Werte B. N una in die jeweiligen Zahlwerke 
geladen. Das erste Zeichen von A wird ebenfalls in das 

10 jeweilige Zahlwerk geladen. Sobald eine Iteration beginnc 
und wahrend k Taktgeber2yklen wird das Umschalren des 
Inhales der Register B und S durchgef ahrc . Die Generation 
des X-Werces fmdet wahrend n-rk effekciven Taktgeberzyklen 
state, wor>ei die erst en k Taktgeberzyklen durch Eingabe des 

15 Wertes von X 0 besetzt werden. Wahrend der ersten effektiven 
k Taktgeberzyklen wurde der Wert ven Yu eingegeben. Wahrend 
der nachsten effektiven n T k Taktgeberzyklen, wird nua der 
Wert X, der in den Multiplikator 20 eingefuhrt worden war. 
umgeschaltet oder in ein Addierwerk 31 eingefuhrt . nachdern 

20 er durch Ver^ogerung 34 verzogert vorden ist . Der Were M 
wird zu drei verschiedenen Zeicphasen verwendec. Erst ens, urn 
S und B zu „aktualisieren v> , zweitens verzogert k effektive 
Taktgeber2yklen 2ur Mult iplikat ion mit Y 0 und dann verzogert 
einen zweiten k effektiven Taktgeber2yklus, urn 2a erfassen, 

25 wie der nachste Wert von S oder £ aktualisiert" werden 
wird. Wahrend derselben fak effektiven Taktgeberzyklen wird 
Z eben3C berechnet wie Z/2 K . Der Were v on Ai wird geladen, 
beginnend mm den erscen k effektiven Taktgeberzyklen and 
fortfuhrend wahrend des darauf f olgenden Teils der Iteration. 

30 Der endgulcige Wert Z/2" wird m das Zahlwerk S (oder B) 
wahrend n Taktgeberzyklen nach den ersten 2k effektiven 
Taktgeberzyklen eingegeben. 



Figur 5 zeigc . erne Implemencierung einer seriellen / 
paralleien Mulcipliicacionszelie (als Hilfe fur diejenigen 
Fachleure, die mic diesem Fachbereich vercrauc sind, denen 
die Arbeicsweise einer derarcigen Xonf iguracion jedoch 
vielleichc niche bekannc isc) - Jede dieser 2ellen umfaSc 
einen MFL Blocfc wie in Figur 6 gezeigc. Sr implemencierc 
boochsche Mulciplikacionsalgorichmen fur niche 

uncerzeichnece serielle / parallele Mulciplikacionen. 

Figur 6 zeigc eine Implement: ierung eines a Bit seriellen / 
paralleien Mulciplikacors . In den ML1 und ML2 Blocken der 
Figur 3 sind die seriellen / paralleien Mulciplikacoren k 
Bits lang. An2umerken isc, daS die MS Zelle encarcec isc. 
Der parallele 8 Bic Mulciplikand wird auf den XI 
Verbindungen eingegeben und der n Bic lange serielle 
Mulciplikacor wird auf dern Y-Verbinder eingegeben (LS Bic 
zuerst, und eine Folge von k Nullen nach dem MS Bic des 
Mulciplikacors) . Das Produkc wird auf MO auagegeben, LS Bic 
zuerst , MS Bic zaleczc. in dem em vollscandiges ProduKc n + 
ic Bica lang isc . 

Figur 1 zeigc die seriellen Addierwerke zur Summenbildung 
von zwei Bic Stromen, die auf A- und B-Eingabeverbindungen 
erscheinen, und gibe den Summenscrom auf Verbindung S aus. 
Die LS Bics smd zuersc einzugeben, und der Ausgabescrom far 
Operanden von m Bics Lange isc m+1 Bits lang. Am Ende des m. 
effekciyen Takes isc die CI-Ausgabe das (mi-1) . Bit der 
Zahlenfolge. 

Figur S 2eigc das serielle Subcrahierverk zur Ausgabe der 
Different 2wischen zwei Bic Scromen, die auf den A- und 3- 
Eingabeverbindungen erscneinen und genen den 

Dif f erencialscrom auf dem D-Verbmder an. Die LS Bics sind 
zuersc emzugeben, und der Ausgabescrom fur Gperanden von m 
Bics Lange isc m Bics lang. Am Ende des m. Bics isc die BI- 



Ausgabe das (m+1) . Bic der Zahlenfolge und dien: als erne 
Entnahmean2eige . 

Figur 9 2eigc das Hardware -Layouc zur Berechnung des 
Parameters H fur einen konstanten Koef f iziencen tt, das n 
Bics lang isc . W&hrend dieses Becrlebsmodus wird das 
Zahlwerk N fur einen n Bit langen konscancen Kcef f iziencen n 
+ 1 Mai roriert:. auf .die Rotierung des 2ahiwerks S 
synchronisierc, das durch Subl mit: emer Verzogerung des LS 
Bic (beim erscen TakC2eitgeber in M2_I : 1 wird eine LS Null 
eingefugc) rociert. Der Encaahmesensor „weifi* am £nde der 
vollstandigen ftocacion, ob N m der nachscen Runde vom Strom 
S subcrahierc wird oder niche und schalcec den 
vorhergehenden Subtraktionsmultiplexer dement sprechend fur 
die nachste Runde. 

Wie oben angegeben zeigr Figur 1 in Form eines 
Blcckdiagramms eine Vorrichtung zur DurchfOhrung der 
erf indungsgemaSen Vorgange. Die Block- KONTROLLE der 
Vornchnung. umf a£c : 

1) Eine vollstandige Zencrale Prc2essoreinheic (CPU) 

2) Rechner 

3) Eine Scacustnaschme 

Die CPU bemhalcec fliichtigen und niche flachcigen Speicher. 
von dem ein Teil ven diesem Mulnipiikauionsvorgang verwendec 
warden kann. Die CPU kontrolliem den modularen 
arichmerischen Block im Schalrkreis. 

Die CPU: 

1) Kommuni2ieru mlz dem Wircsrechner 



2) Lade Dacen auf den Chip und vom Chip herab. 



3) Sceuerc den Sch&lckreis zar ' Durchf uhrung einer Sequenz 
machemacischer Vorgange . 

4) Isc fur andere Verschlusselungs- und 
Niche verschlusselungs- sowie Dacenverarbeicungsprozesse 
verancworclich. 

Die Rechner generieren die Adresse fur die eingebetcece 
Scacusmaschine . 

Die Scacusmaschme decodiert die Adressen und generiert 
Kontrollsignale an den MULT Block. Diese Konnrollsignale 
sceuern den MULT Block zur Durchf uhrung der entsprechenden 
Sequen2 von Vorgangen, die zur Berechnung der Transformation 
p (A . B)N nocwendig smd (wobei A gleich B seln kann) . 

figur 3 isc em Hardware -Blockdiagramm, der Hardware - 
vorrichcung, die die physikalischen Aapekce der Erfmdung 

(MULT) einbete'et, und da2u bescimmc isc, bei der 
Schwerpunktlegung auf mehrere der Archmekturkonzepce 2u 
helfen, die durch dieses Pacenc geschuc2C werden sollen. Der 
Block implemenciert zusanunenf allend die in den. Gleichungen 

(1) bis (5) spezif iziercen Sequenzen und ebenso, ohne das 
synchrone Taktgeben zu verandern. die Umwandlungen von S und 
B von der begrenzcen Kongruenz zur Gleichheic .. In diesem 
Abschnitt nehmen wir vorweg, daS die Konscanten (die 
Funktionen von N) J 0 und H vorausberechnec werden sind. 

Der Schalckreis fuhrc p (A B)N durch. Umier verwendung 
dieser funkcicn kann der Schalocreis genuu zu werden. un 2u 
berechnen 

1) B . A mod. N 



und 

2) B 3 mod. N, 



wobei B immer kleiner sein mu£ als N. 

Implemencierung von C = B . A mod. w (A kann gleich B sein) 

1) Der Prozessor lade den Operanden B in das Zahlwerk B vor 
und den Operand N in das ZahlwerK N vor. 

2) Jedes Mai, wenn der Schalckreis in MULT mic der 
Berechnung des nachscer. Werces von S begmnc , signalisierc 
der Schalckreis (2eichen) der CPU, ' das nachsce A ; 
vorzuladen. Nach der S(m). Iceracicn befindec sicn eine 
Zanl, die V Kongruenz mic S hat, im Zahlwerk B. 

3) Block MOLT berechner F = p (B . H)N, wobei. H eine 
vorausberechnece Konscance in einer den Sc.hritcen 1) und 2} 
idencischen Sequenz mic der Ausnahme isc, dafi der Prozessor 
nun die Sequenz von H L Zeichen vorladen wird (uncer Einsarz 
derselben Sequenz wie der, die beim vorherigen Laden von A x 
Zeichen verwendec wurdej . 

Implemencierung von C = B 3 mod. M 

1) Uncer der Annahme, daS B emen Were enchalc. ven dem 
bekannc isc, dafi er ¥ kongruenc zu Bi isc, und daS das 
Zahlwerk N den konscancen Koef f iziencen N enchain (wie dies 
beim Quadrieren allgemein der Pall isc) , kann der MULT Block 
nun die Quadrierung zunachsc durch Vorladen des Zahlwerks Ai 
mic B 0 , dem LS Zeichen von B 0 vornehmen. 

2) Die Berechnung B = £> (3 . B) N erfolgc wie der zweice 
Schricc beim Mulciplikacionsvorgang, mic der Ausnahme, daS 
das nachfolcende Laden der Bi Zeichen seriell „fl legend" von 
den Zahlwerken 3 erfolgc, da die Zahlwerke B rocieren. 

3 ) Die Berechnung p (S - H) , tails nocwenaig. isc icenciscn 
mic dem vorgehenden Schricc 3. 
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Wie dern Fachmann einleuchcec, beanspruchen die Erfinder 
niche, dafc dae seriellen / parallelen (s/p) Mulciplikacoren 
oder irgendeiner der vervendecen herkomcnlichen Komponencen 
per se Teil der Erfindung sind. Der folgende Abschnicc wird 
eingefugc, um die Verwendung von logischen Scandardsellen im 
offenclichen Bereich za erlaucern, da einige von ihnen niche 
im allgemeinen Gebrauch smd, Die hier gezeigce 
Gaccerimplemencierung dienc nur der Darscellung. Erfahrene 
Techniker opcimieren diese logischen Zellen. 

Die Operanden A, B und N sirid jeder a Bic lang, die aus m 
Gruppen von k Bic langen Zeichen bescehen, daher n = k . m. 
In emer Hardware- 1 mplemencierung, in der k = 32, kann m 
encveder 3 oder 16 binare Bics lang sein. 

ML1 , ML2 

Diese Mulciplikacoren fuhren den Algorichmus nach Booth fur 
niche signierce Mulciplikat lonen durch, in denen der 
parallele Operand k Zellen {Bics) lang isc und der seriell 
geladene Operand von irgendeiner beliebigen gefordercen 
Lange sein. 

Jeder serielle / parallel Mulciplikacor besceht aus k-1 MPL 
Zellen (Figur 5} - Die signif ikancescen Zellen, sem MS 3ic. 
bescehc nur aus emem UND-Gaccer. 

Jede MPL Zelle mulcipli2ierc die serielle Eingabe Y mic 
seiner parallelen XI -Bics-Eingabe und sumrnierc dieses 
Ergebnis mic der seriellen Ausgabe oder vorherioen MPL 
Emheic und ihren eigenen vorherigen Ausf uhrengsbic2yfclen . 

Die MPL Zelle isc em 2 Bic Mulciplikacions-Addierwerk. Der 
Block mulciplizierc das Emgabebic XI und das serielle 
Eingabebic Y und sumrnierc das Ergebnis mic DI (Dacen Ein) 
und dern Obercrag CI (Obercrag Ein) vom vorherigen Zykius. 
Das endgulcige Ergennis isc DO (Dacen Aus) und ein CO 



(Ubercrag Aus) far den nachscen Zyklus. Dieser Ubercrag Aus 
wird in einem Dacen Flip-Flop (D P-P) gespeicnerc . 

DO = (DI t CI t XI . Y) mod. 2. 

und der gespeicherce Ubercrag CO wird der CI im nachscen 
Zyklus sein. Dieser Ubercrag isc die booleache summe.- 

CO = CI - XI . Y .+ CI . DI ♦ DI . Y. XI 
Ad.l, Ad. 2 

Dies isc em einfaches 1 Bic voiles Addierwerk mic einem D 
P-F zum Speichern des Obercrags. der im nachscen 
Takcgeber zyklus (Figur 7} hmeingecragen wird. 

Die 2wei Emgaben A und B werden mic dem Ubercrag CI aus dem 
vornerigen 2yklus summierc . urn die Modulo 2 Summe 2u 
generieren. die im D F-F fur das Ausgabesignal 3 gespeicherc 
wird. Beim Zuruckseczen wird das Obercragsbic auf „o» 
geseczc. 

Sub . 1 , Sub .2, Sub . 3 

Jeder der in Figur 8 beschrieber.e.i Bloeke isc ein voiles 
Subcrahierwerk mic einem Speicher D F-F fur die vorherige 
Enchahme. Dieser Block isc ahnlich dem Ad. 1 Block, mic den 
Ausnahmen. daS er den B Strom seriell vom A Scrom 
subcrahierc . 

V eraoq.i, V er 26g.2, \Zerzo g_._3 

Dies smd k Bic Umscnalc2ahlwerke , besnahend aus k 1 Sic 
ver:<e:tscen Speichervorrichcuagen. Sie werden zur 
Synchronisierung der verschiedenen Operanden in der 
machemac is chen Sequenz einge3ec2C. Dies .wird deuclich. wenn 
der Schalckreis erlauterc wird. 



Diese Blocke sind k Bic lange serielle Ein- / parallele Aus- 
Umschalczahlverke, in die.k Emgabebics seriell eincracen. 
Nach Jc ef f ekciven Takcgeberzyklen erscheinen diese k Bics m 
der Ausgaoe parallel • 

In Figur 2 sind die dannen Linien serielle Ein-Bic-Leicer 
und dae dicken Linien scellen k flic parallele Leicer. dar. 

M4 I:x M3 I:X M2 I :X 

Dies sind Ein-Bic-Ausgabe-Multiplexer - M4_I:x. die 1 von 4 
Eingaben ausgeben - M3__I :x, die 1 von 3 Eingaben ausgeber. 
und M3_I:S # die 1 von 2 Eingaben ausgeben, x scellc den 
expliziten Index emer spezifischen Komponente dar. 

B(0:k-l), B(k:nl-1), B(nl:n2) , S(0:n-1) , Sinl:n2), N(0:k-1), 
N(k:nl-1) , N(nl:n2) 

Dies sind Umschaltzahlwerke . Die GroSe und der Placz in der 
Sequent eines langeren ZahlwerXs werden durch die 2ahlen in 
Klammern bezeichnec, zum Beispiel isc X(3:cj isc ein c - s * 
1 Sic langes Urnschal tzahlwerk, s isc der Index fur das ersce 
Bin von X ( s : c ) und c isc der Index das letzcen Bic des 
Zahlwerks X(s:r). Zum Beispiel beszehc B (0 : 511) aus den drei 
kurzeren kaskadiercen Zahlwerken: B(0:31) # B(32:255) und 
8(256:511) . 

nl isc im allgememen gleich n/2, zum Beispiel mufi 256 . nl 
ein Vielfaches von k sein. 

n2 isc gleich n-1. 

k isc die Lange des Maschinenzeichen, das heiftc , die Gxofie 
der seriellen / parallelen Mul'ciplikacoren. Daher werden die 
folgenden Werce in der erscen Implement ierung 
vorweggenommen: nl = 256, n2 - 511, n = 512 und k ^ 32 . 



Schalter 1 , Schalcer2 

Diese zwei Sehalcer sind jc Bic Z^hlwerke. Sie werden 2ur 
Sperrung der parallelen Dacen in dem Mulciplikacor zur 
Ermoglichung von parallelen Einzelcakccransakcionen an 
Mulriplikationssequenzen eingeseczc. 

MULT Blockvorgang - Mulciplikacionen und Potenzierungen im 
y -Bereic h 

Zur Erleichtrerung der Erlaucerung haben wir uns 
encscnlossen, nur seiche Takcgeberzyklen zu bezeichnen, die 
tacsachllch Dacen in Zahlwerken bewegen; diese ..bewegenden" 
Zyklen definieren wir als „effekcive TakcgeberzyKlen M . 

£jA . B)N Malciplik axion 
Scufe 1: Erstes Laden 

Polgende Zahlwerke werden durch DI geladen: 

1) J U xn das Zahlwerk J 0 (von CPU vorausberechnec) 

2) B in das Zahlwerk B 

3) N in das Zahlwerk 

4) Das erste Zeichen von A. A u in das Zahlwerk A 2 

Gleichseitig zu Schrinu 2 wird Zahlwerk S mix: Mullen 
geladen. 

Nach dem Laden dieser funf Zahlwerke werden die zwei 
parallelen senellen niche signierten Mule xplikacoren MLl. 
ML2, die seriellen Addierwerke AD1 und AD2 und die senellen 
Subcrahierwerke Subl, Sub2 und Sub3 2uruckgeseczc. 

Scuf e 2 : AusfUhren der Iceracion B . A 0 



Die in das Zahlwerk A A geladenen Dacen A 0 warden in Schalterl 
geladen. Zahlwerk B wird 2yklisch nach reches umgeschaltec . 



Bei Inicialisiemng des Pro2esses scehc das Encnahme2 
Koncrol 1 signal auf „0' % . daher gehc der Iniialc von B einfach 
unveranderc durch das SujDcraftierwerk Subl and wifd in ML1 
mic A 0 mulcipli^ierc . Die Ausgabe des Zahlverks- B wira 
unveranderc in die Emgabe des Zahlwerks zuruckgespeisc . 

Das Ergebnls dieser Mule lplrkac ion wird seriell in Adl zum 
Inhale des Zahlwerks S addierc, das bei dieser erscen 
Iceracion Qberall Null ist. Dieser Vorgang generierc X wie 
hienn zuvor beschrieben. 

Wahrcnd diese Vorgange voranschreitcn, ladn die CPU das 
nachste Zeichen von A, A L in Schalcerl . 

J Q aus dexn Zahlwerk J 0 wird in Schalcer2 geladen. X wird 
seriell in ML2 2ur Mulciplikacion mix: J 0 emgegeben. Scmic 
isc der Inhale des Zahlwerks Y 0 nach k effekciven Takcgebern 
die k klemscen Bics des Produces X 0 . Jo. 

Dann, nach dies.en erscen fc effekciven Takcgebern, wird ML2 
zuruckgeseczc ; der serielle Eingabemulciplexer M3_l:4 wird 
votn Scroin X auf den Scrom N umgeschalcec ; die Oacen im 
Zahlwerk Y 0 werden anscelle von J 0 parallel in Schalcer2 
geladen; und die Aasgabe wird auf den Scrom Y 0 - 
umgeschalcec. Fur die nachscen n-rk effekciven 
Takcgeberz/klen wird das serielle Ausgabeergebms der ML2- 
Mulciplikacion Y c . N sein. X, das durch k effekcive 
Takcgeber2yklen verzogerc wurde ( wird nun in Ad2 zum 
Produkcscrom von ML2 summierc; dies generierc Z = X -r Yo . 
N; eine Zahl. in der die k kleinscen Bics gleicft Null smd. 

Da die erscen k Bics von Ad2 alle Wull smd. bleioen sie 
unbeachcec and die nachscen n Bics werden seriell an das 
Zahlwerk S zuruckgesendec . Diese endgulcige Menge kann 
grofier als oder gleich N sein (in diesem Pall muS sie um N 
reduzierc werden), das heiSc, S(l) Y S(l) mod. N. 



Urn r.erauszufinden/ of S > M . wird N seriell - von diesem n 
Bic langen (2/2*) Scrom in Sub3 subcrahierc. Jedoch wird nur 
das n. Encnahmebic in diesem Encnahme-Speicher Flip-Flop 
gespeicherc. 

Wenr. dieses Encnahmebic „0» isc oder das endgulcige 
Obercragsbic CO des Addierwerks Ad2 „i» isc, darni isc der 
neue Were in S groSer als N. 

Am Ende dieser erscen Iceracion gibr es einen Were im 
Zahlwerk S, der die jf begren2te Kongruen* von S(l> mod. N 
iec- die Zahlwerke J 0 , B und N hali.cn die ursprunglicnen 
werce zuruck. mic denen sie geladen warden; und das 
Vorladezahlwerk Ai beinhalcec A x . 

Scufe 3: Nachfolgende Iceracionen B . A. 

Das nachsce Zeichen von A, A, wird in den Schalcerl, die 
parallele Eingabe von ML1. geladen. 

wahrend der nachscen und nachf olgenden Iceracionen B A, isc 
der Inhale von S am Ende j eder Iceracion ¥ 2u S(i) mod. N. 
Wenn S li J : N, dann isc N von S(i) in Sab. 2 w subcrahieren. 

Sei Beginn ;jeder Iceracion wird das nachsce 2eichen von A. 
A., durch die CPU in das Vorladezahlwerk Ai geladen. 

& (B . B)N Quadrierungsvorgange 

Der ersce Vorgang bei einer normalen Pocenzierung isc em 
Pocenzierungsvorgang, der wie eine normal e Mule iplikac ion 
mic dem in das 2ahlwerk B geladenen Multiplikacor A und dem 
in das in k 3ic 2unahme in das Zahlwerk X x geladene 
Mulciplikand wie im vorherigen Abschnicc beschrieben 
durehgefuhrc wird. Nachfolgende Quadrierungen werden auf 
Operanden (Mulciplikaecren und Mulciplikanden) durehgefuhrc. 
deren begrenzce Kongruen2 im Zahlwerk B liege. 



Wahrend solcner p(B .8)N Quadrierungen warden J 0 , S; B und N 
von Beginn an bereics von einer vorherigen Mulciplikat ion 
cder Quadnerung geladen und bleiben uaverandert; bei jeder 
Iceracion jedoch mufi das Zahlwerk A x mic einetn neuen Zeichen 
geladen werden, das von einem k Sic Zexchen abgeleicec wird, 
das. sich am Zahlwerk B befindec. 

Fur diese nachf olgenden Ouadnerungen wird das ZahlwerK A 4 
„fliegend M vom Scrom B vorceladen, Sobald die CPU die 
Sceuerquadrierung gegeben hat . hac sie wahrend der 
nachfolgenden Quadrierungsvorgange B . B± keine Aufgahe 
auszuf uhren. Die B ie . die geladen werden, sind Segmence von 
B ( die durch Subl geflossen sind (Bi -Segmence von B, die 
bereics kleiner sind als NJ . 

Scafe 1: Iceracion B . B 0 

Ursprunglich befindec sich das leczce ¥ von S aus der 
vorherigen Berechnung am Zahlwerk B. 

Die k LS Sirs der Zahlwerke. 3 und N werden 2/klisch naeh 
rechcs umgeschalcec , damit werden die Zahlwerke B und M naeh 
K effektiven Takcgebern in ihre ursprunglichen Zuscande 
iurtickgespeicherc . Der Were irn Zahlwerk B isc encweder der 
eigencliche Were B oder der were B-N, der fur die nachsce 
p -Mulciplikacion zu verwenden isc. So isc das Zahlwerk Ai 
fur die ersce Rande encweder mic B 0 vorzuladen. das sich irn 
2ahlwerk B befindec, cder den k LS Bics von S-tt, 

Der Zweck dieser er seen k Bic Rocacion isc es, die erseen k 
Bics der Vorladung fur das Zahlwerk A L durcn Subl scromen zc 
konnen. Unver2ugiich nachdern es seriell geladen wurde, wire 
A x in Schalcerl abgeladen. und das Vorladezahlwerk A A isc 
frei, um mic Bj., dem zweicen Zeichen von 3, geladen zu 
werden. 



Vtehrend dieses und nachf olgender Vorgange ist die 
Ausgafcefolge vcn Subl posiciv und immer kleiner als N, da 
das Signal Entnahme2 gesetzt oder zurtickgeset zc wird. 

Nun, da alle Werce in die 2ahlwerke geladen wurden. ftthrc 
diese ersce Mult: iplikat ion ahnlich wie die Iteration B . A 0 
vor, gemaS Beschreibung irn . vorherigen Abschnitc, mic der 
Ausnahme. daS B rocierc, wie noch erlautert wird. Bl wird in 
das Zahlwerk A x geladen (es sei daran erinnert, dafi die CPU 
in einer Mulciplikacion das 2ahlwerk A*, lade) . 

Als das iweice k Bit Zeichen cauchc B x wahrend dieses erscen 
verfahrens B . B 0 B x aus dem Strom B auf . das Segment B x 
senell „fliegend" in das Vorlade- Zahlwerk A x umgeschaicec, 
das fur den nachscen Quadrierungsvorgang in Vorbereitung 
isc. das heiftr die Iteration B . B- . 

Scufe 2: Iteration B . B x 

Der m das Zahlwerk A x geladene Weru B x wird an seme Ausgabe 
Schalterl transf erierc . Wahrend der nachscen n + 2k (2um 
Beispiel n -r 64) effektiven Taktgeberzyklen wird das 
Multiplikationsverf ahren auf B . B\ wie cben beschrieben 
darchgef lahrt . 

Wie zuvor bestimmen die Signale Entnahmel und Encnahme2, ob 
N von den Stromen zu subtrahieren ist, die von den 
Zahlwerken B und S ausgehen. Wenn die Zahl im Zahlwerk S 
groSer als cder gleich N isc, dann wird Encnahmel gesetzc 
und N wird mm dem Subtrahierwerk Sub. 2 von S subtrahierc. N 
wird. falls nocwendig, fur die Dauer einer vollscandigan m- 
Icerations-Mulcipiikat lonsscnleif e von B subtraniern . Erne 
derarcige - Bedingung wurde mic Entnahtne2 am Ende der 
vorherigen Mulciplikacion oder Quadrierung erfaSt werden. 

Die zwei Flip-Flops, Entnahmel und Encnahme2 anchalcer. die 
endgulcigen Werte der kondit ionierten Encnahme Aus von Sub3 . 



Encnahmel wird nach jeder Iteration von S gesetzt oder 
zuruckgesetzt . Encnahme2 wird nach der let2cen Iteration 
S (in) geset2c cder 2ur\ickgesetzt, wahrend B mit S (m) geladen 
wire. Die kondicionierte Entnahine Aus isc das Signal, daa 
anzeigt. ob an Sd) grbSer isc als N. 

Wahrend der- Sequenz B . 3 X wird das Zeichen 3 2 fliegend" in 
das Vorlade2ahlwerk A > geladen, da das Zeichen B 0 im 
Subtrahierwerk Sub. 1 existierc . 

Stufe 3: Nachfolgende Multiplikat ionsiterat ionen B . B a 

Die verbleibenden Iceracionen m-2 werden durchgef uhrt : 
wahrend 3eder einzelnen wird das Zahlwerk mit: dem Were 
des Zeichens B x igeladen, da ea ia Sub.l in Vorbereitung far 
die nachste Schleife existiert. 

Das endgultige Ergebnis, eine begrenzte Kongruenz, befindet 
sich sowohl im Zahlwerk S als auch B. Diese Daten werden. 
falls notig, bei Sub.l berichtigt, wenn sie senell durch DO 
ausgegeben werden. 

Vorqang MULT Block - Berechnung des Parameter s H 
2ur 3erechnung von H wird die Maschine neu kenf igurierc , urn 
die Zahlwerke S und N wie in Figur 9 einzusetzen. wir 
demonscrieren den Vorgang des Operators unter Einsac z des 
bereics oben verwendecen numenschen Beispiels. Diese 
Konf iguracion fuhrc in nrl Runden eine Berechnung H durch.. 
Bei jeder Runde werden sowohl S als auch N rotiert, wobei 
]ede Rotation n effekcive Taktgeber sind. Bei jeder Runde 
zirkuliert N und kehrc unverandert zuruck. Am Ende der x. 
Runde enthalten S und das Signal w nachsce Subcraktion" das 
Aquivalenc ' einer begrenzcen ¥ Kg rig rue nz von Sd) . 

Die A u sg angsbedinqunqe.o - 1 . Runde 

2u Seginn der erscen Runde wird der kor.star.te Koeffizienc N 
m das Zahlwerk N geladen. und das Encnahme5en3or2eicher. 
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wirci zurttckgeseczc, was bedeucec, da3 die ersce 
Versuchssubcrakcion erfolgreich sein wird; der Ausgabe-Flip- 
Flop von Sub. 1 wird auf Null zurttckgeseczc. Fur Runde 1 
wissea wir, dafi das MS in.) Bic des versuchsdividenden Eins 
isc. Dieses Bic wird durch Dedukcion im Flip-Flop ,.nachsce 
Subcrakcion" (kein Placz in S) gespeicherc. Die „nachsce 
Subcrakcion" steuerc die Subcrakcion S-N in Runde 1. 

Oncer . Verwendung des cben beschriebenen numerischen 
Beispiels n 4 Bit demonscrieren wir den Berechnungsmodus h 
- Ausgangsfcedingung . 

Gespeicherc im 2eichen nachsce Subcrakcion des 
£nc nahme sensors 



Zu Beginn wissen wir, dafi U 
das MS Bic des Dividenden I 
„1" isc. | 

Daher, weil wir wissen, daS j 

es keine Encnahme geben | 

konnce. seczen wir das i 

Zeichen nachsce Subcrakcion • 

wieder auf Null. . 

U 

U 

Das Signal Fncnahmesensor - 
nachsce Subcrakcion 

isc erne Null, daher wird 
M2_l;3 in der erscen Runde 
N in Subl einapeisen . Die 
Differenz wird S=N mic 
einer vorscehenden Null 
sein, oder, , genauer 



N = 1011, n = 4 
Siehe Figur 7 



S(0) Die : Inhalce des 
Zahlwerks S 
U 

10) 0000 (0000) c= „ Vircuelle 
Null en" 

(Oiese „vircuellen~ LS Mullen 
werden von emer 

Versuchssubcrakc ion n:cht 
beeincrachcigc . Bei jeder 
Runde wird es eine Null 
wemger im „vircuellen 
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ausgedruckt. 2 . (S-N) . Nullenzahler u geben) 

Im erscen Ta}ccgeiDer2yklus 
wir dxe Null votn 
Zurucksecaungs-Subl . - 
Ausgabe Flip-Flop in S's MS 
Zeile S eingespeisc, eber.so 
wie das LS Bic vom S in 
Sub.l eingespeisc wird. 

(Das LS Bit von S isc immer 
eine Null, die aus dem 
„vircuellen" LS Null-Zahler 
scammc.J 

Wahrend der erst en n-1 
Takcgeberzyklen wercien die 
LS n-1 Bits von Diff in S 
eingespeisc . 

M wird 2uruck in seine MS 
Sic 2elle rociert. 

Der Srrom BO (Entnahme Aus) 
isc gleich mic den Senen 
der Entnahmen, die aus dem 
Strom 

Diff. mod. 2 n - tQ 

resuliieren, allerdings 
wird nur die let zee 
Encnahme ab<gef rage una kan n 
relevant sem. 



Beim n. effekciven 

Takcgeberzyklus wird 



„nachsce Subcraktion^ ein 
Zeicnen fur eine 

Subcrakcion fur dxe nachace 
Runde hervorrufen, venn das 
MS Bit von Diff. xst: 
ODER wenn BO = „ 0 " . 

In der erscen Runde wird N von 2 M subtraftierc und n Bics des 
mic 2 mulciplxzierten Ergebnisses (eme LS Null-Emf ugung) 
in das Zahlwerk S 2uruckgef uhrr , MIT AJStfAiiME des MS Bit. 

das ,.durch Deduktion" im Zahlwerk Encnahme- Sensor nacnsce 

Subtraction gespeichert wird. 

Am Er.de der erscen Runde rocieren: 

S(l) = 1010, nachste Subcrakticn = 1 (80 = 1), und wir 
wissen, dag es xn der nachscen Runde keine Subcraktion von 
S-N in Sub.l geben wird. 



Berechnung des Parameters H . 2 . Runde . : 

Gespeicherc im 2eichen hachsce Subcrakcion des 
Edcnahmesensors 



2u Beginn wissen wir, da8 (] 

die Subcrakcion der zweicen | 

Runde niche erfolgreich | 

ware, da BO = .1*, ^erfafic" | 
als Sub. 2. 



N = 1011. n = 4 



I S(l) Die Inhalce des 

I Zahlwerks S nach der erscan 



U 



Runde 



u 

Das Signal Entnahmesensor - 
nachsre Subcrakcion 
1st Eins, daher wird M2_l;3 
in dieser Runde Nullen in 
Subl emspeisen. Diff. = 2 
. S 

ES GAB KEIME SUBTRACTION. 



— (1) 1010 (000J , 

Vircuelle Nullen" ubria 



,,3 



(Das LS Bic von S isc 

wieder eine Null, die aus 
dem ^vircuellen" LS Null- 
Zahler scammc . ) 

Fur die nachf clgenden n-1 

Takcgeberzyklen werden die 

LS n-1 Bics der 

Diff. = 2 . S in das 



Zahlwerk S eingespeisc. 

M wird zuriick in seine MS 
Bic -Zelle rocierc. 

Da das MS Bic der Diff. 
eine „1~ ist, wis sen wir, 
da£ wir in der nachscen 
Rande S - it subcrahieren 
muss en. 

Die abgefragce BO isu 
irrelevant . 



Diff. = 1 0100 und S(2) = 0100, nachsce Subcraktion = 0 # and 
wir wissen, daS es in der nachscen Runde eine Subcrakcion 
von S - N in Sub.l geben wird. 



»• 



Berecnnung des Paramecers H \ 3- Runde . 

Gespeicherc lm 2elchen nachsce Subcrakcion des 
£nc nahme 3 ens or s 



Zu Beginn wissen wir. dafi 0 N = 1011, n = 4 
die dricce Subc rake ions | 
runde erfolgreich sein j 
vird, da das MS Bic von | 
Diff. war. . 



I 



u 



S(2) Die In ha lce des 
2ahlwerks g nach der zweitan . 
Runde 

U 



U 

Das Signal Encnahmeaensor - 
nachs c e Subcr akc ion 
isz erne Mull, wird von 
Diff, subcrahierc . 



Fur die nachsten n-l 
Takcgeber2yklen werden die 
LS n-1 Bins von Diff. = 
2(S-N) fcuruek in das 
2anlwerk S eingespeisc . 



(0) 0100 (00) ^2 Vircuelle 
Mullen" ubrig 



Da das MS Bic von Diff. in 
Sub. 1 „r isc, mussen wir 
in der nachscen Runde S-is) 
subcrahieren, 

Diff. = 1 0010 und S(3) = 0010, nachsce Subcrakcion = 0. und 
wir wissen, daS es in der nachscen Runde eine Subcrakcion 
von S-N in Sub . 1 geben wird. 



/T V-* - • 



Berecnnun g des Parameters h - 4 . Runde 



Gespeicherc 



im 



Zeichen 



nachste 



Subcrakcion des 



Encnahmesensors 

Zu Beginn wissen wir, da£ U 
die vierce Subtrakcions | 
runde erfolgreich sein | 
wird, da das MS Bit von | 
Diff. l i% war. , 



N » 1011. n = 4 



S(3) Die Inhalce des 
Zatilwerks S nach der dim ten 

u 



Das Signal Encnahmesensor - 
nachsue Subc rake ion 
isc eine Null, N wird von 
Dif f . subcrahierc . 



— (0) 0010 (0) 
Null * ubnq 



1 Vircuelle 



Da ea keine Encnahme 30 - 
„0 A gai>, warden wir in der 
nachscen Runde S-N 

subrrahieren. 

Diff. = 0 1110 and Si4) = 1110, nachace Subcrakcion = 0, una 
wir wissen, dafi es in der nachscen Runde eine Subcrakcion 
von S-N in Sub. 1 geben wird. 



Berechnung des Parameters H . n+l . IS.) Runde 

. Gespeicherc irn 2eichen nachste Subtrakcion des 
Encnahmesensors 

Zu Beginn wissen wir, dafi U N = 1011, n = 4 

die vierce Subcrakcions | 
runde erfolgreich sein | 
wird. da das MS Bin von | 

Diff. .1- war. . S(4) Die Inhalc'e des 

Zahlwerks S nach der viercen 
Runde 
U U 



(0) 1110 ( ) s= „Keine 

0 

Vircuelle Null" ubr ic^ 

Das Signal Entnahmesensoi- - 

nachsie Subcraiccion Let zee Runde 

ist eine Null, N wird von 
Diff. subtrahxert. 



5 



Diff. = 0 0011 und S(5) 
von H ist. 



= 0011, isc der Rest 



- der der Wert 
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ANSPRUCME 



1. Mikroelektronisches Gerat zur Durchfuhrung der modularen Multiplication eTnes 
Multiphkators durch einen Multiplikanden, wobei das Gerat Addierwerke (30) und 
Zanlwerke (10, 11, 12) urnfaftt, dadurch gekennzeichnet, dad das Gerat umfafct: 

erste (10), zweite (11) und drine (12) Hauptumschalt- und getaktete serielie-Ein- 
senelle Aus-Zahlwerke, die jeweils geeignet sind, den Multiplikator, ein 
Teilergebnis und einen konstanten Koeffizienten zu speichem; 

ein erstes serielles / paralleles Multiplex-Multiplikationswerk (19), in dem der 
Muttiplikand untergebracht ist und das geeignet ist, fur jede einer Vielzahl von 
Teilen des Multiplikanden seinerseits den Multiplikator aus dem ersten Zahlwerk 
(10) zu empfangen, den Multiplikator durch einen laufenden Teil des 
Multiplikanden (21) zu multipiizteren und erne Ausgabe zu generieren, umfassend 
ein Produkt besagter Multiplikation; 

ein Subtrahierwerk (28) zurn Subtrahieren des konstanten Koeffizienten von den 
inhalten des zweiten Zahlwerks (11), zur ProduKtion einer begrenzten Kongruenz 
davon. in der, nachdem die Vielzahl der Telle des Multiplikanden durch das erste 
Multiplikationswerk (19) verarbeitet worden ist, besagtes Teilergebnis eine 
begrenzte Kongruenz eines Durchfiihrungsergebnisses besagter modularer 
Multiplikation besagten Multiplikationswerkes durch besagten Multiplikanden 
bildet; 

ein serielles Addierwerk (30), das auf die Ausgabe des ersxen 
Multiplikationswerkes (19) einwirkt und eine begrenzte Kongruenz des 
Teilergebnisses. das sich in dem zweiten Zahlwerk (11) befindet und geeignet ist, 
eine Ausgabe zu liefern; 



ein zweites serielles I paralleles Multiplex-Multiplikationswerk (20), das in einer 
ersten Phase die Ausgabe des seriellen Addierwerkes (30) und eine 
Montgomery-Konstante empfangt und in einer zweiten Phase den konstanten 



Koeffizienten aus dem dntten Zahlwerk (i 2) ernpfangt und in der ersten Phase 
geeignet ist, ein Produkt der ersten Phase der Montgqmery-Konstante durch 
einen Teil der Ausgabe des seriellen Addierwerks; (30) zu berechnen und in der 
zweiten Phase den konstanten Koeffizienten mil dem Produkt der ersten Phase 
zu multiplizieren und dadurch eine Ausgabe der zweiten Phase zu generieren, 
die, wenn sie mit der Ausgabe des seriellen Zahlwerks (31) kombiniert wird, 
besagtes Teilergebnis generiert; 

Schalxelemente (23) zur Lieferung von Differentialeingaben an wenigstens 
besagtes zweites Multiplikationswerk 120), Jeweils in der ersten und zweiten 
Phase. 

ein zweites Subtrahierwerk (27) zum Subtrahieren des konstanten Koeffizienten 
von den Inhalten des Zahlwerks (10). zum Produzieren der inhalte des vom 
konstanten Koeffizienten reduzierten Zahlwerks (10). in dem besagtes erstes 
Multiplikationswerk (19) ein erstes serielles / paralleles Multiplikationswerk (19) 
umfaftt. das besagte Inhalte des vom konstanten Koeffizienten reduzierten 
Zahlwerks (10) seriell ernpfangt und den Multiplikanden parallel ernpfangt; 

eine Entnahme-Sensor-Vorrichtung (35), geeignet zum Empfang der Ausgabe 
des zweiten Addierwerks (31) und zur Bestimrnung, ob die Ausgabe des zweiten 
Addierwerks (31 ) groBer als oder gleich ist wie der konstante Koeffizient; 

in dem die Langen der ersten (19) und zweiten (20) Multiplikationswerke beide k 
sind, wobei das Gerat ebenfalls ein zweites AddienA/erk (31) umfalit. das geeignet 
ist. die Ausgabe des seriellen Addierwerks (30) mit einer Verzogerung von k 
effektiven Taktgeberzyklen zu empfangen und die Ausgabe der zweiten Phase 
des zweiten Multiplikationswerkes zu empfangen und diese Ausgaben zu 
addieren und dadurch eine Ausgabe des zweiten Addierwerks zu generieren, in 
der die k kleinsten Bits Null sind. und besagte Ausgabe des zweiten Addierwerks 
in eine erste (30) ausgew^hlte des Zahlwerks (10) oder des Zahlwerks (11) 
einzuspeisen; und eine k-Bit Verzbgerungseinheit (34) zwischen dem ersten (30) 
und dem zweiten (31) Zahlwerk, die geeignet ist, die Verz6gerung von k 
effektiven Taktgeberzyklen zu liefern. 



2. Gerat gemaft Anspruch 1, dadurch gekennzeichnet, dad besagtes erstes 
Multiplikationswerk (19) einen ersten Eingabeschalter beinhajtet, in dem der 
Multiplicand untergebracht ist 

3. Gerat gemaft Anspruch 1 und 2, dadurch gekennzeichnet, daft das zweite 
Multiplikationswerk (20) einen zweiten Eingabeschalter (22) beinhaltet, der den 
Multiplikanden empfangt. 

4. Gerat gem3ft Anspruch 1 bis 3, dadurch gekennzeichnet, daft er kein anderes 
Multiplikationswerk einsetzt als besagte erstes und zweites Multiplikationswerk 
(19,20). 

5. Gerat gemaft Anspruch 1 bis 4, dadurch gekennzeichnet, daft eine 
Montgornery-Konstante JO im zweiten Multiplikationswerk (20) in der ersten 
Phase untergebracht ist und die Ausgabe der ersten Phase des zweiten 
Multiplikationswerkes im zweiten Multiplikationswerk (20) in der zweiten Phase 
untergebracht ist. 

6. Gerat gemSft Anspruch 5, dadurch gekennzeichnet, daft es einen Bereich (23) 
von 2-bis-1 Multiplexern umfaftt, die geeignet sind, die Montgornery-Konstante in 
das zweite besagte Multiplikationswerk (20) in der ersten Phase einzuspeisen 
und die Ausgabe der ersten Phase des zweiten Multiplikationswerkes (20) in das 
zweite Multiplikationswerk (20) in der zweiten Phase einzuspeisen. 

7. Gerat gemaft Anspruch 6, dadurch gekennzeichnet, daft es ein serielles / 
paralleles Zahlwerk umfaftt, das die Ausgabe des zweiten Multiplikationswerkes 
(20) in der ersten Phase empfangt und die Ausgabe parallel in besagtes zweites 
Multiplikationswerk (20) uber besagten Multiplexerbereich (23) in der zweiten 
Phase einspeist 

8. Gerat gemaft Anspruch 7, dadurch gekennzeichnet, daft besagter Multiplex- 
Bereich (23) k 2-bis-l Multiplexer umfaftt und in dem besagtes serielles / 
paralleles Zahlwerk die Lange k hat. 



9. Gerat gemaft Anspruch 1, dadurch gekennzeichnet/ daft das erste senelle 
Subtrahierwerk (27), das die Inhalte des Zahlwerks (10) empfengt und daraus 
den konsianten Koeffi2ienten subtrahiert, einen modular redu2ierten Multipiikator 
berechnet, wenn die Ausgabe des zweiten Addierwerks (31) grofter als Oder 
gleich wie der konstante Koeffizient ist, und den modular reduzierten Multipiikator 
in besagtes erstes Multiplikationswerk (19) einspeist. 

10. Gerat gemaft Anspruch 9, dadurch gekennzeichnet. daft es eine 
Vergletchseinnchtung umfaftt, die bestimmt, ob die Ausgabe des zweiten 
Addierwerks (31) grofter als oder gleich dem konstanten Koeffizienten ist, in dem 
die Vergleichseinrichiung operativ mit dem Subtrahierwerk (28) verbunden ist, so 
daft das Subtrahieren des konstanten Koeffizienten von den Inhalten des 
Zahlwerks (11) kontroliiert wird. 

11. Ger3t gemaft Anspruch 10. dadurch gekennzeichnet, daft es eine 
Vergleichseinrichtung umfaftt, die bestimmt. ob die Ausgabe des zweiten 
Addierwerks (31 ) grofter als oder gleich dem konstanten Koeffizienten ist, in dem 
die Vergleichseinrichtung mit dem Subtrahierwerk (27) operativ verbunden ist, so 
daft das Subtrahieren des konstanten Koeffizienten von den Inhalten des 
Zahlwerks (10) kontroliiert wird. 

12. Gerat gemaft Anspruch 1, dadurch gekennzeichnet, daft das Subtrahierwerk 
(28), das die Inhalte des Zahlwerks (11) empfSngt und davon den konstanten 
Koeffizienten subtrahiert, einen modular reduzierten Multipiikator t>erect\nex t wenn 
die Ausgabe des Addierwerks (30) grofter als oder gleich dem konstanten 
Koeffizienten ist. und die modular reduzierte Ausgabe des Zahlwerks (11) in 
besagtes Multiplikationswerk (20) einspeist- 

13. Gerat gem§ft Anspruch 1, dadurch gekennzeichnet. daft besagtes zweites 
Addierwerk (31) ein serielles Addierwerk umfaftt 



14. Gerat gemaft Anspruch 1. dadurch gekennzeichnet, daft besagtes erstes und 
zweites Multiplikationswerk (19, 20) jedes eine Lange k hat und in denen die 
Dauer der ersten Phase k effektive Taktgeberzyklen smd. 

15. Gerat gemaft Anspruch 1. dadurch gekennzeichnet, daft das serieile 
Addierwerk (30) auf die Ausgabe des ersten Multiplikationswerkes (19) und auf 
die modular reduzierten inhalte des Zahlwerks (1 1 ) einwirkt. 

16. Gerat gemaft Anspruch 1, dadurch gekennzeichnet, daft besagter 
Hauptschalter und besagte getaktete Zahiwerke (10, 11,12) unierteilt sind. 

17. Gerat gemaft Anspruch 1. dadurch gekennzeichnet, daft die Ausgabe der 
zweiten Phase eine serielle Ausgabe umfaftt. 

18. Ein Verfahren 2um Einsatz mikroelektronischer Potenzierungsgerate zur 
Durchfuhrung modularer Quadrierung . und rnodularer Multiplikation eines 
Muliiplikators durch einen Multiplikanden, dadurch gekennzeichnet, daft das 
Verfahren nachfolgende Schritte umfaftt 

- Speichern des Multiplikators, eines Teilergebnisses und eines konstanten 
Koeffizienten in ersten (B), zweiten (S) und dritten (N) unterteilten Hauptschalt- 
und getakteten jeweils seriellen-Ein seriellen-Aus Zahlwerken (10, 11 und 12); 

fur jedes einer Vielzahl Teile des Multiplikanden (21). der in einem ersten 
senellen-parallelen Multiplikationswerk (ig) untergebracht isx, der den 
Multiplikator aus dem Zahlwerk (10) in besagtem seriellen-parallelen 
Multiplikationswerk (19) empfangt und seinerseits den Multiplikator mit emem 
laufenden Teil des Multiplikanden multiplizien und eine Ausgabe generiert, 
umfassend ein Produkt besagter Multiplikation; 

in dem, nachdem die Vielzahl Teile des Multiplikanden von dem ersten Zahlwerk 
(19) verarbeitet worden ist, besagtes Teilergebnis eine begrenzte Kongruenz 
eines Ergebnisses der Durchfuhrung besagter modularer Multiplikation besagten 
Multiplikators durch besagten Multiplikanden bildet; 



- Addieren der Ausgabe des ersten seriellen Addierwerks (30) des ersten 
Multiplikarionswerkes (19) mit einer begrenzten Kongruenz des sich in dem 
Zahlwerk (i i ) befindenden und erne Ausgabe liefernden Teilergebnisses; 

- erst in emem zweiten seriellen-parallelen Multipiex-Multiplikationswerk (20), das 
in einer ersten Phase die Ausgabe des ersten seriellen Zahlwerks und eine 
Montgomery-Konstante empfangt und in einer zweiten Phase den'konstanten 
Koeffi2ienten aus dem Zahlwerk (12) empfangt und in der ersten Phase ein 
Produki der ersten Phase der Montgomery-Konstante durch einen Teil der 
Ausgabe des ersten seriellen Zahlwerks (30) berechnet und in der zweiten Phase 
den konstanten Koeffizienten mit dem Produkt der ersten Phase multipliziert. urn 
dadurch eine Ausgabe der zweiten Phase zu generieren; 

- in einem zweiten seriellen Addierwerk (31) die Ausgabe der zweiten Phase mit 
der Ausgabe des ersten seriellen Zahlwerks (30) kombinieren, urn dadurch 
besagtes Teilergebnis zu generieren; 

- in den Subtrahierwerken (27, 28) den konstanten Koeffizienten von den inhalten 
der Zahlwerke (10, 11) subtrahieren, um eine begrenzte Kongruenz davon zu 
produzieren; 

- aktivieren durch einen Entnahme-Sensor (35), der geeignet ist, die 
Subtrahierwerke (27. 28) zu aktivieren; 

- Differentialeingaben an wenigstens besagte zweite Multiplikationswerke (20) 
jeweils in der ersten und zweiten Phase liefern; 

- Durch Verzogerungszahlwerke (32 f 33. 34) wenigstens besagte erste und 
zweite Phase synchronisieren; und 

- besagtes Gerat durch Durchfuhrung von wenigstens einer modularen 
Muliiplikationsoperation Oder einer modularen Quadrierungsoperation einsetzen. 
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